Warning: session_start(): open(/var/cpanel/php/sessions/ea-php54/sess_16ih8ish4mugjnguq7ivlhipi4, O_RDWR) failed: No space left on device (28) in /home/itextreme/public_html/index.php on line 3
IT-Extreme - Semmi sem elképzelhetetlen: Linux rendszerekbÅ?l épült botnet hálózat

Lap tetejére
Hirek Tesztek RSS facebook
IT-Extreme hírportál
Érdekességek
Sulaki - 2015-05-12

A Mumblehard kártevÅ? veszélyt jelent a Linux és BSD webszerverekre egyaránt...



Az ESET szakértői kapcsolatot találtak a Mumblehard kártevő és a Yellsoft nev? online vállalkozás között

A vezető, proaktív védelmet kínáló biztonságtechnológiai vállalat, az ESET kiadta Unboxing Linux/Mumblehard - Muttering Spam for your Servers cím? kutatását, amely a Mumblehard kártevő felépítését és tevékenységét vizsgálja.

A Linux/Mumblehard a Linuxot és a BSD rendszereket futtató szervereket támadja. A kártevő elsődleges célja, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel. „Képesek vagyunk azonosítani a megfertőzött gépeket és figyelmeztetni a tulajdonosokat” – mondta Marc-Etienne M. Léveillé, az ESET vezető biztonsági kutatója. „Beszédes adat, hogy a 7 hónapos vizsgálati periódus alatt több mint 8500 egyedi
IP
címet azonosítottunk. Most, hogy a fenyegetés technikai paraméterei nyilvánosak, az áldozatok könnyebben megérthetik mivel állnak szemben, és megtisztíthatják szervereiket.”

 

Az ESET kutatói szerint a kártevő két fő összetevőből épül fel. Az első
komponens
a Joomla és a Wordpress sérülékenységeit kihasználó általános backdoor (hátsóajtó) program, amely parancsokat fogad az irányító szervertől (Command and Control server). A második összetevő teljes funkcionalitású spammer daemon (olyan rendszerszint? háttérfolyamatok és szolgáltatások, amik folyamatosan futnak, és valamilyen feladat elvégzéséért felelősek), amelyet a hátsóajtón keresztül kapott utasítás indít el. Megfigyelhető, hogy a Mumblehard kártevő a
Linux
és BSD rendszereket futtató feltört DirectMailer nev? programon keresztül is terjed, amely jogtiszta változatát 240 dollárért lehet beszerezni a Yellowsoft oldalán. „Nyomozásaink során erős kapcsolatot találtunk a Yellsoft nev? szoftvercéggel. Néhány egyéb nyom mellett azt találtuk, hogy a kártevőben kódolt IP címek szorosan kötődnek a Yellsoft címeihez” – tette hozzá Léveillé.

 

Összefoglalva a Linux/Mumblehard fő célja az volt, hogy legitim IP címek mögül hosszú időn keresztül tömeges méretekben
spam
üzeneteket küldjön ki. A fertőzött gépek száma a kutatók által vizsgált hat hónap alatt megduplázódott, és az elemzés arra is fényt derített, hogy az évek óta rejtve m?ködő trójai kapcsolatban állhat a YellSoft nev? tömeges levélküldést végző (úgynevezett DirectMailer) céggel. Maga a kártevő egy
Perl
nyelven írt script volt, amit elkódolva és futtatható formátumra (ez a
Unix
rendszereken ELF) lefordítva terjesztettek.

 

Fontos tanulsága az esetnek, hogy kártevő szempontból időnként az alternatív operációs rendszerek is veszélyben lehetnek, ezért ezeken is fontos a megfelelő konfigurálás, a t?zfal események nyomon követése, és a rendszeres biztonsági ellenőrzések elvégzése. Az incidens emellett arra is ráirányította a figyelmet, hogy, a
szerver
kiszolgálók biztonságát sem szabad elhanyagolni, illetve fontos a megbízható biztonsági megoldások, mint például az ESET Server Security rendszeres futtatása.

Warning: Unknown: open(/var/cpanel/php/sessions/ea-php54/sess_16ih8ish4mugjnguq7ivlhipi4, O_RDWR) failed: No space left on device (28) in Unknown on line 0

Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/var/cpanel/php/sessions/ea-php54) in Unknown on line 0