超过1万台Linux服务器感染了恶意程序

jopen 11年前

  杀毒软件公司 Eset 的研究人员披露了一个正在进行中的恶意程序攻击,被取名为 Operation Windigo(PDF) 的恶意攻击感染了超过 1 万台 Linux 和 Unix 服务器,这些服务器被用于发送大量垃圾信息,重定向用户到恶意网页。Windigo 的活跃至少始于 2011 年,入侵的系统包括了属于 Linux 基金会的 kernel.org 和 cPanel Web 的服务器。

  在三年时间内, Windigo 感染了超过 2.5 万台服务器,每天发送 3500 万垃圾信息,对 Windows 的访问者发动偷渡下载攻击,向用户展示色情服务横幅广告。其中值得一提的是对 kernel.org 的攻击,至今 Linux 基金会还没有提供关于此次攻击的完整报告。

  Eset 的报告称,kernel.org 服务器感染的可能是 OpenSSH 后门恶意程序 Linux/Ebury,Ebury 能在被感染的服务器上提供 root 访问权限,能用于窃取 SSH 凭证。除了 Linux/Ebury 外,Windigo 的其它恶意组件包括 Linux/Cdorked,用于重定向访问者到恶意网页的 HTTP 后门;Perl/Calfbot,一个 Perl 脚本,可让被感染的机器发送垃圾信息。

  Windigo 不是靠漏洞控制服务器,而是使用偷来的登录凭证。研究人员建议服务器登录应该启用二步验证。

来自: Solidot