http://www.linux.com/feature/125548
根據這篇報導,本月一家安全研究公司 Finjan 指出一個受到危害的網站每天能以惡意軟體感染數千位訪問者。這種惡意軟體能在不知情的狀態下,將 Windows 使用者的機器變成 bot,並受到一個尚未確認的犯罪組織所操控。資安公司 ScanSafe 與 SecureWorks 也有類似報導,不過受影響數量稍微有點不同。所有的報導都指出受到危害的伺服器都是運行 Linux 與 Apache。
報導中指出這種攻擊涉及一種安裝在受危害伺服器上的 rootkit,那以受感染版本替換掉數種系統執行檔。當系統開機後,受感染的執行檔就會被執行,結果動態創造出來的 JavaScript payloads 就會隨機地、間歇性地感染訪客。而這些 JavaScript 會試圖利用 Windows, QuickTime, 與 Yahoo! Messenger 當中的漏洞來感染訪客電腦。
這篇報導詢問 Apache Software Foundation 是否有任何處置方式,不過 Apache 那邊的人表示依目前所得到的資訊來看,應當是攻擊者取得 root 的權限才能如此囂張,與 Apache HTTP Server 無關。而這篇報導接著又詢問 Red Hat,而它們的安全小組則回應,到目前為止他們尚未接觸任何受到感染的伺服器,因此無法給出建議。
cPanel,一種主機代管業者所使用的熱門管理工具,可讓其客戶管理他們的網站,則張貼了一篇 security note (http://www.linux.com/feature/125548)描述這種 rootkit 在安裝之後會發生什麼事,並建議二種方法來檢查伺服器上是否有此 rootkit 存在。
根據 cPanel 表示,如果你無法建立一個以數字開始的目錄,例如 mkdir 1,那麼你就被感染了。另一個測試方法是利用下面的指令偵測來自於伺服器的封包:
tcpdump -nAs 2048 src port 80 grep "[a-zA-Z]\{5\}\.js'"※ 以上文章節譯,詳見原站。
* 『隱私國際』公佈 2007 年報告
* 從刷卡安全有漏洞 到肺結核個資外洩
* 駭客使用各大網站橫幅廣告綁架你的電腦
* 駭客攻入美國國家實驗室
* 首例「偷渡式網址轉接」攻擊在墨西哥確認
* 鬼鬼祟祟的 MBR rootkit
沒有留言:
張貼留言