Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Linuxサーバーを攻撃するLinux.Sshdkit

2013年2月27日

株式会社Doctor Web Pacific


感染するLinux Webサーバー数の増加を受けて、Doctor Webは独自の調査に乗り出しました。その結果、Dr.Web によってLinux.Sshdkitと名付けられたトロイの木馬が、Linuxサーバー上のパスワードを盗む手段の1つとして用いられていることが明らかになりました。

このマルウェアはLinuxディストリビューションの32bit版および64bit版で利用可能なライブラリファイルです。このトロイの木馬の拡散方法については未だ明らかになっていませんが、深刻な脆弱性を悪用して、攻撃対象となるサーバー上にインストールされていると考えられます。Doctor Webに知られているLinux.Sshdkitの最新バージョンは1.2.1で、一方、古いバージョンの1つである1.0.3は長い間拡散され続けています。

インストールされると、このトロイの木馬は自身のコードをsshdプロセスに挿入し、このプロセスの認証ルーチンを使用します。セッションが開始され、ユーザーがログインとパスワードを入力すると、それらがトロイの木馬によってUDPプロトコル経由でリモートサーバーへ送信されます。コントロールサーバーのIPはマルウェア内にハードコード化されていますが、Linux.Sshdkitは特殊なアルゴリズムを使用して1日置きに新しいコマンドサーバーアドレスを生成します。

このアルゴリズムによって、Linux.SshdkitはDNS名を2つ生成します。これらのDNS名が同一のIPアドレスを参照している場合は別のIPに変更し、盗んだ情報をそこに送信します。以下のフローチャートは、コマンドサーバーアドレスの生成ルーチンです。

Doctor Webアナリストはシンクホール手法を使用してLinux.Sshdkitコントロールサーバーの1つを乗っ取ることに成功し、これにより、このトロイの木馬が盗んだログイン及びパスワードをリモートホストへ送信しているという確かな証拠を入手しました。

Linux.Sshdkitのシグネチャは既にDr.Webのウイルスデータベースに追加されています。Linuxサーバー管理者の方には、システムチェックを実行することを推奨します。システム内で/lib/libkeyutils*(20~35KB)ファイルが見つかった場合は感染の疑いがあります。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F