você está aqui: Home  → Arquivo de Mensagens

Servidores Linux com Nginx são alvos de rootkit

Colaboração: Alexandro Silva

Data de Publicação: 28 de novembro de 2012

No dia 13 de novembro foi divulgado na lista Full-disclosure um novo rootkit que tem como alvo servidores Linux usando o webserver Nginx.

Segundo stack trace, vítima do ataque, o malware adiciona um iFrame malicioso na resposta HTTP enviada pelo servidor web. Após o comprometimento o servidor passa a encaminhar as requisições para outros sites maliciosos. Além disso um Blackhole varre o host do visitante a procura de falhas no Java, Flash entre outras aplicações rodando na máquina cliente.

Foi descoberto até o momento um módulo especifico para o kernel 2.6.32-5-amd64, presente no Debian Linux. Pesquisadores da Karpersky Labs nomearam o malware como Rootkit.Linux.Snakso.a. Outra análise bastante interessante é do pesquisador Georg Wicherski da CrowdStrike. Ele considerou o rootkit como parte da operação do cybercrime e que pelas técnicas adotadas foi desenvolvido por programador russo sem muito conhecimento do kernel.

Medidas Preventivas

Realmente não existe mágica na proteção contra novos malwares porém posso sugerir algumas recomendações básicas:

  • Manter uma rotina de varredura de antivirus mesmo em servidores Linux;
  • Utilizar um IDS ou um WAF e monitorá-lo diariariamente;
  • Utilizar um HIDS alertando sobre modificações das páginas hospedadas no servidor.
  • Utilizar camadas de segurança de kernel como SELinux,GRsecurity ou Tomoyo;
  • Identificando comportamentos anormais no servidor ou site usar comandos para identificar atividades maliciosas como strace (e.g. strace -fp PID) e lsof (e.g. lsof -i)
  • Sempre que identificar um servidor ou site comprometido bloquear os acessos imediatamente.

Blog do autor


Veja a relação completa dos artigos de Alexandro Silva

 

 

Opinião dos Leitores

Allan
09 Set 2013, 02:38
Alexandro Silva, eis o link atual: http://www.crowdstrike.com/blog/http-iframe-injecting-linux-rootkit/index.html
Alexandro Silva
30 Nov 2012, 11:47
Olá Felipe,

Dê uma lida neste post http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html. Ele esclarecesse muito sobre este malware.

Abs,

Alexos
Alexandro Silva
30 Nov 2012, 11:45
Olá Rotericus,

Não. Até o momento o que sabe é que este rootkit somente atinge servidores Web com Nginx e com kernel 2.6.32-5, no caso os possíveis alvos são Debian stable rodando Nginx.

Abs,

Alexos
Alexandro Silva
30 Nov 2012, 11:42
Olá apimente.br

Dei uma analisada no seu questionamento ontem e pude chegar em um PROVÁVEL cenário de ataque.

Não sei você lembra de um famoso worm chamado Blaster ( MS03-026/MS03-039 ) que aterrizou computadores Windows 2000 e XP em 2003. Ele se ploriferava através da porta RPC 514, bastava acessar a internet com o sistema desatualizado que o worm infectava a máquina e ela ficava reiniciando sem parar. Uma forma de mitigar está vulnerabilidade era criar uma regra no FW do windows negando todos as conexões nesta porta.

Então o que pode estar acontecendo é uma vulnerabilidade ou nesta versão do kernel ou no Nginx 1.2.3 que permitindo a ação do rootkit. Numa simples busca no <a href="http://www.shodanhq.com/search?q=debian+2.6.32-5-amd64" rel="nofollow">Shodan</a> encontrei cerca de 30 possiveis alvos. Pense cada alvo infectado é capaz de atingir centenas ou milhares de vítimas mesmo o código sendo amador.

Lembrando que este tipo de ataque é dificil identificação e solução, já que muitos servidores não estão sendo monitorados e os procedimentos básicos de segurança não são aplicados.

Estou fazendo alguns testes e se possível devo ter novidades.

Abs,

Alexos
Filippe Spolti
30 Nov 2012, 09:52
Quando vi essa notícia pela primeira vez, achei uma coisa muito sem sentido, sem crédito dos caras que descobriram e estudaram o negócio, sem nenhuma informação a mais, isso pra mim não passa de uma jogada de marketing para amedrontar os usários de linux.
Rotericus
28 Nov 2012, 13:46
Qual o perigo desse rootkit para usuários domésticos? Ele só se aplica a servidores?
apimente.br
28 Nov 2012, 12:36
Uma dúvida que tenho e não vi ser esclarecida em nenhum lugar onde vi essa notícia: qual é o processo de instalação do malware?
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script