Учитывая, что мой предыдущий пост был принят в штыки многими линуксоидами, думаю, будет логично рассмотреть более подробно указанный пример, тем более что на днях к нам поступила новая модификация Trojan-Dropper.Linux.Prl.
Trojan-Dropper.Linux.Prl.b
Имя файла: ob.pl. Тип файла: ELF. Обнаружен пользователем на своём сервере после публикации предыдущего блогпоста. Принцип работы остался прежний — создание процесса «/usr/bin/perl» и передача ему через pipe Perl-скрипта.
Сам скрипт хранится в теле трояна в зашифрованном виде. Алгоритм расшифровки при этом выглядит так:
Алгоритм расшифровки Perl-скрипта.
Основная цель работы расшифрованного Perl-скрипта — рассылка спама.
Часть Perl-скрипта, отвечающего за рассылку писем:
if ($session->{$handle}{status} eq "mx_rd")
{
$session->{$handle}{buffer} = "HELO $buffers->{helo}\x0D\x0A";
$session->{$handle}{status} = "mx_gr";
}
elsif ($session->{$handle}{status} eq "mx_gr")
{
my ($mail) = &mail(\$session->{$handle}{sender});
$session->{$handle}{buffer} = "MAIL FROM: <$$mail>\x0D\x0A";
$session->{$handle}{status} = "mx_mf";
}
elsif ($session->{$handle}{status} eq "mx_mf")
{
my ($mail) = &mail(\$session->{$handle}{object});
$session->{$handle}{buffer} = "RCPT TO: <$$mail>\x0D\x0A";
$session->{$handle}{status} = "mx_rt";
}
elsif ($session->{$handle}{status} eq "mx_rt")
{
$session->{$handle}{buffer} = "DATA\x0D\x0A";
$session->{$handle}{status} = "mx_dt";
}
elsif ($session->{$handle}{status} eq "mx_dt")
{
$session->{$handle}{buffer} = &data($session->{$handle}{object}, $session->{$handle}{sender});
$session->{$handle}{buffer} .= "\x0D\x0A.\x0D\x0A";
$session->{$handle}{status} = "mx_dr";
}
elsif ($session->{$handle}{status} eq "mx_dr")
{
$buffers->{good}[0] ++;
$buffers->{good}[1] .= "$session->{$handle}{object}\x0A" if $buffers->{level};
$session->{$handle}{object} = "";
$session->{$handle}{buffer} = "QUIT\x0D\x0A";
$session->{$handle}{status} = "mx_qt"; 
Пример рассылаемых писем.
В боте при этом указаны IP-адреса, где установлены административные панели для его работы: 195.144.21.122, 195.144.21.124 и 194.54.83.114.
Откуда дровишки?
Прочитав несколько топиков на различных форумах по данному вопросу и связавшись с администраторами нескольких зараженных серверов, нам удалось выяснить, что данные спам-боты появились на их серверах вследствие 3-х основных причин:
- кража пароля от FTP, с помощью вредоносных программ;
- перебор паролей от FTP, SSH по словарю;
- проникновение через phpbb.
Во всех трёх случаях загрузка спам-бота сопровождалась изменением HTML-файлов и вставкой в них iframe’ов на зараженные сайты.
Обнаружение, лечение, предупреждение повторного заражения
В общем случае обнаружить работу спам бота можно просто с помощью команды «ps -aux». При этом можно выделить три случая, характерных для заражения данным ботом — в зависимости от способа, которым злоумышленник установил его на систему:
- интерпретатор Perl запущен с параметрами -w и путем к файлу, непосредственно содержащим указанный спам-бот (характерен для случая проникновения через phpbb);
- Perl с параметром -w и путём к файлу, отсутствующему на сервере. (характерен для случая с кражей пароля от FTP с помощью троянских программ);
- Perl, запущенный без параметров с помощью дроппера (характерен при переборе пароля).
Из всего выше указанного можно сделать простые выводы для предотвращении заражения машин этим спам-ботом:
- Использовать сложные пароли
- Использовать последние версии продуктов установленных на сервере
- Следить за безопасностью на всех компьютерах, используемых для доступа к сайтам.
Комментарии (4)
старые сверху
«дерево»
ITEngineer(Security)03 июн 2009, 18:43
|
|
0 |
|
|
Меня тоже несколько поражают
потуги некторых адептов раскричаться о безопасности Linux и дырявости Windows. Никто не удосужился принять простой факт: сломать можно всё, что было когда - то создано (если говорить об этом без пространных технических подробностей)
|
|
|
Vascom18 июн 2009, 12:04
|
|
|
0 |
|
|
Re: Меня тоже несколько поражают
Сломать конечно можно всё. Только если при этом не использовать уязвимости (линукса), а использовать подбор пароля, то линукс тут абсолютно не при чём, не надо поднимать панику. От взлома пароля даже антивирус не сможет защитить.
|
|
|
ITEngineer(Security)18 июн 2009, 16:52
|
|
|
0 |
|
|
Не надо паники! :)))))
Всё гораздо проще. На Винде можно по ряду признаков обнаружить вредоноса даже без наличия инструментов. В Линуксе же не всегда понятно то ли это вирус, то ли пакет rpm глючит...
А то, что вирусов не Линуксе нет - это давно неправда. И давайте не будем спорить - практика аналитиков успешно доказывает обратное. Кстати, хаки ведут родословную от Unix и он, Unix, хакается стабильно. )))))
Нужно просто открыть глаза....
|
|
|
Vascom19 июн 2009, 11:29
|
|
|
0 |
|
|
Re: Не надо паники! :)))))
А я и не говорю, что вирусов под линукс нет. Я лишь хотел обратить внимание на некорректность обвинения линукс в дырявости из-за подбора пароля. Пароль можно подобрать к чему угодно. И то, что в данном случае пароль подобран к линуксу, не делает его дырявым.
Несомненно, "что вирусов не Линуксе нет - это давно неправда". Но всё же линукс имеет опосредованное отношение к этой заметке. И паники действительно нет и не будет.
|
|
|
Также в аналитике
В веблоге
|
RSS-каналы
