10,000 Linux servers hit by malware serving tsunami of spam and exploits

arstechnica.com

NetworkFun-Para peneliti telah mendokumentasikan operasi kriminal yang sedang berlangsung menginfeksi lebih dari 10.000 server Unix dan Linux dengan malware yang mengirim spam dan pengalihan pengguna akhir untuk halaman Web berbahaya.

windigo, sperti itulah julukan serangnnya, telah aktif sejak tahun 2011 dan telah dikompromikan sistem milik Linux Foundation kernel.org dan pengembang dari panel cPanel Web hosting control, menurut laporan rinci yang diterbitkan Selasa oleh para peneliti
dari penyedia antivirus Eset. Dalam nya 36 bulan berjalan, Windigo telah terganggu lebih dari 25.000 server dengan malware yang kuat yang mengirimkan lebih dari 35 juta pesan spam per hari dan mengekspos berbasis Windows pengunjung Web untuk drive-by serangan malware. Hal ini juga feed orang yang menjalankan jenis iklan spanduk komputer untuk layanan porno.

para peneliti Eset, yang telah berperan penting dalam mengungkap kampanye serupa mengorbankan sejumlah besar server menjalankan nginx, Lighttpd, dan Apache Web server, mengatakan kampanye terbaru memiliki potensi untuk menimbulkan kerusakan yang signifikan di Internet pada umumnya. Mereka menjelaskan


Jumlah sistem terkena dampak Operation Windigo mungkin tampak kecil bila dibandingkan dengan wabah malware baru-baru ini di mana jutaan desktop terinfeksi. Hal ini penting untuk diingat bahwa, Pada kasus ini, setiap sistem yang terinfeksi adalah server. yang umumnya menawarkan jasa untuk banyak pengguna dan dilengkapi dengan sumberdaya yang lebih baik dalam hal bandwidth, penyimpanan dan daya komputasi dari komputer pribadi normal. Sebuah denial of service attack atau operasi spam mengirim menggunakan seribu server akan menjadi jauh lebih efektif daripada operasi yang sama dilakukan dengan jumlah yang sama komputer desktop.

Remember the kernel.org hack?

Laporan pada hari Selasa kemarin juga terkenal karena dapat memberikan rincian baru yang penting tentang 2011 kompromi yang memperoleh akses tak terbatas ke server milik kernel.org, kelompok yang mempertahankan dan mendistribusikan sistem operasi Linux kernel. Pemimpin Yayasan Linux mengingkari janji untuk memberikan otopsi penuh serangan, meninggalkan motif penyerangan menjadi misteri.


Sampai saat ini, rincian yang diketahui publik dari serangan itu sebagian besar terbatas pada penggunaan dari diri-suntikan rootkit-Phalanx atau Phalanx2-menginfeksi kernel.org server dikenal sebagai Hera dan Odin1, serta komputer pribadi milik Senior Linux pengembang H. Peter Anvin. Malware memiliki akses ke informasi yang berpotensi sensitif yang tersimpan pada mesin yang terinfeksi. Sebuah nasihat lanjut beberapa minggu kemudian membuka kemungkinan bahwa pengembang lain mungkin masih menjadi target penyerangan.


Menurut Eset, kernel.org server yang mungkin terinfeksi oleh bagian kedua malware yang dijuluki Linux / Ebury, sebuah backdoor OpenSSH digunakan untuk tetap mengontrol server dan mencuri kredensial. Ebury berjalan terutama pada server Linux dan menyediakan akar backdoor shell akses ke server yang terinfeksi, memberikan kemampuan untuk mencuri kredensial SSH.


"The timeline is interesting as well," tulis para peneliti dalam laporan Eset. "Sementara Phalanx2 telah digunakan di banyak kompromi sebelumnya, belum, untuk pengetahuan kita, terlihat di alam liar setelah kompromi Linux Foundation. Menariknya, ini adalah kasus pertama yang diketahui melibatkan Linux / Ebury."



selain Linux / Ebury, salah satu komponen utama malware lainnya yang terdiri Windigo termasuk Linux / Cdorked, sebuah backdoor HTTP digunakan untuk mengarahkan pengunjung situs ke eksploitasi perangkat lunak berbahaya dan konten penipuan. Komponen ketiga, yang dikenal sebagai Perl / Calfbot, adalah script Perl yang menyebabkan mesin yang terinfeksi untuk mengirim spam. Anehnya, laporan Eset tidak membuat referensi ke Darkleech, sebuah toolkit eksploitasi yang tahun lalu terinfeksi diperkirakan 20.000 situs yang menjalankan Apache.


The Windigo kampanye tidak bergantung pada kerentanan teknis untuk memegang server, kata Eset. Sebaliknya, menggunakan kredensial dicuri. Temuan itu menyebabkan para peneliti untuk menyimpulkan otentikasi password untuk akses server tidak memadai. Sebaliknya, orang harus bergantung pada otentikasi dua faktor. Orang-orang yang ingin tahu apakah server mereka beroperasi terpengaruh dalam kampanye Windigo dapat menjalankan perintah berikut:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"   

Eset sangat menganjurkan bahwa sistem operasi dari mesin yang terinfeksi sepenuhnya diinstal ulang. Mereka juga menyarankan semua kredensial disimpan pada mesin yang terinfeksi atau digunakan untuk login ke mereka dianggap berkompromi. Mengingat sulitnya banyak administrator server telah melaporkan sepenuhnya memberantas Cdorked, Darkleech, dan malware menyerang server produksi lainnya, nasihat masuk akal.

sumber : http://arstechnica.com/security/2014/03/10000-linux-servers-hit-by-malware-serving-tsunami-of-spam-and-exploits/



Comments