Новини: Міжнародний день захисту інформації, руткіт для Nginx та шкідливі модулі Apache

22:43 01.12.2012

За повідомленням ridna.ua, Міжнародний день захисту інформації.

Учора відзначили Міжнародний день захисту інформації. У 1988 році американська Асоціація комп’ютерного обладнання оголосила 30 листопада Міжнародним днем захисту інформації (Computer Security Day).

Саме тоді була зафіксована перша масова вірусна епідемія, яка паралізувала роботу шести тисяч інтернет-вузлів у США. Цей мережевий вірус назвали “хробаком Морріса”.

Щороку в цей день з ініціативи Асоціації комп’ютерного обладнання проводяться міжнародні конференції з захисту інформації. Цей день став нагадуванням про те, що кожен користувач, адміністратор і розробник ПЗ має відповідати за безпеку своїх інформаційних активів і ресурсів.

За повідомленням www.xakep.ru, новий 64-бітний руткіт під Linux робить ін’єкції фреймів у HTTP-трафік.

Нещодавно був виявлений новий руткіт, що працює під 64-бітною ОС Linux і використовує Nginx. Шкідливу програму один користувач знайшов на своєму сервері Debian Squeeze, веб-сервер Nginx 1.2.3.

Знайти руткіт удалося після того, як деякі відвідувачі сайта поскаржилися, що їм відвантажується дивний iframe з редиректом на шкідливу сторінку. Тобто зловмиснику вдалося впровадити код на сторінки сайта. Як виявилося впровадження фреймів відбувається шляхом підміни системної функції tcp_sendmsg, тобто впровадження в HTTP-трафік здійснюється шляхом безпосередньої модифікації вихідних TCP-пакетів на сервері Linux.

За повідомленням www.xakep.ru, у продажі модулі Apache для ін’єкцій фреймів.

Відомий фахівець з безпеки Данчо Данчев розповів, як зловмисники автоматизували рутинні операції по масовому інфікуванню уразливих серверів.

Якщо коротко, то алгоритм виглядає так: шукають уразливі сервери, на яких розміщується максимальна кількість доменів (бажано більше тисячі), а потім упроваджують шкідливий iframe у кожний файл .php/.html/.js, що вдалося знайти на цих доменах.

У проведенні подібних операцій допомагають саморобні модулі для Apache 2.x, які Данчо Данчев знайшов у продажі за ціною біля $1000. Судячи з наявних свідчень, ці модулі уже використовувалися для проведення ряду атак, про які повідомляли антивірусні компанії. Один з таких модулів зветься DarkLeech.

При наявності на сервері таких рутків чи модулів до веб сервера, які будуть розміщувати malware, визначити це за допомогою скриптів, що працюють на цьому сервері (так званих вбудованих веб антивірусів), не вдасться. Зате зовнішні антивірусні системи, як моя SecurityAlert, зможуть виявити такі інциденти на серверах.


Leave a Reply

You must be logged in to post a comment.