Otkriven je SSH daemon rootkit koji može preuzeti kontrolu nad Linux serverima

Poznato je nešto više o načinu djelovanja SSH daemon rootkita koji je otkriven prije nekoliko tjedana.

BubaPrije oko mjesec dana otkriven je SSH daemon rootkit koji može oteti identifikacijske podatke za pristup Linux serveru i time potencijalno preuzeti udaljenu kontrolu nad njim.
Točan način na koji se ovaj zloćudan softver našao na Linux serverima još nije poznat, ali je poznat njegov način djelovanja, te još važnije način na koji se može provjeriti da li je neki server inficiran i kako ga ukloniti sa zaraženog servera.

Ovaj rootkit će na zaraženom serveru zamijeniti standardni libkeyutils s modificiranom verzijom koja u sebi sadrži zloćudni kod. Aktivirani zloćudni kod mijenja ponašanje SSH daemona i sposoban je oteti korisničko ime i lozinku te time efektivno preuzeti kontrolu nad računalom. Preuzeti podatci o korisniku se automatski šalju na udaljeni server. Aktivnosti zloćudnog programa se ne mogu pronaći u logovima servera.

Sam vektor putem kojeg je ovaj zloćudan program dospio na zaraženo računalo na žalost još uvijek nije poznat, ali budući da se ovaj problem intenzivno ispituje za očekivati je da će se i način zaraze uskoro otkriti.

Kako bi provjerili da li je vaš server zaražen zloćudnim programom provjerite integritet libkeyutils librarya. Na rpm serverima se to uradi pomoću rpm naredbe:

rpm -Vv keyutils-libs-1.2-1.el5

Naredba će provjeriti MD5 checksum koji će se za zaražene librarye razlikovati od originala.