Операция Windigo заразила более 25 тысяч серверов на Linux/UNIX

Исследователи из антивирусной компании ESET со своими коллегами из нескольких европейских агентств зафиксировали в сети крупную атаку «Операция Windigo», которая привела к заражению более 25 тысяч серверов, работающих под управлением ОС GNU/Linux и других UNIX-подобных систем.

По данным отчета, операция Windigo началась еще в конце 2011 года и с тех пор успела найти свое «применение» в инфраструктуре многих организаций (в том числе — cPanel и Linux Foundation) и на широком спектре ОС: Linux (около 60 %), FreeBSD, OpenBSD, Mac OS X и даже Windows через Cygwin. В рамках этой операции ESET рассматривает три основных зловредных компонента, заражающих серверные системы:

  • Ebury — бэкдор к OpenSSH для управления сервером и получения учетных данных системных пользователей;
  • Cdorked — бэкдор к веб-серверам (Apache, nginx, lighttpd) для перенаправления веб-трафика;
  • Calfbot — Perl-скрипт для рассылки спама (он «виноват» в ежедневной отправке более 35 миллионов спам-сообщений по всему миру).

Windigo: типичный сценарий получения пароляПримечательно, что для достижения своих целей злоумышленники не эксплуатируют уязвимости в безопасности программного обеспечения — для этого использовались лишь различные способы получения паролей для SSH-доступа. В связи с этим, авторы исследования высказывают мнение, что аутентификация на серверах по паролю — архаизм, от которого пора отказаться.

Подробное исследование операции Windigo с хронологией событий и техническими деталями обнаруженных проблем опубликованы в отчете.

В связи с этим, а также учитывая тот факт, что более 60 % веб-сайтов во всем мире работают на серверах Linux, специалисты ESET настоятельно рекомендуют веб-разработчикам и системным администраторам проверить системы на наличие угроз для предотвращения дальнейшего распространения «Вендиго». Для этого ИТ-специалистам необходимо запустить следующую команду:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo «System clean» || echo «System infected»

Поділіться своєю знахідкою

Залишити відповідь

0 комментариев
Вбудовані Відгуки
Переглянути всі коментарі
0
Ми любимо ваші думки, будь ласка, прокоментуйте.x