Resultados 1 a 8 de 8
  1. #1
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106

    Vírus que ataca servidores de Linux adiciona código em páginas web

    Um administrador de sistemas publicou na lista de segurança "Full Disclosure" uma informação sobre um servidor Linux que foi comprometido para alterar as páginas web servidas com um código capaz de infectar sistemas Windows de visitantes.

    O código, que era até então desconhecido, infecta o sistema Linux agindo como um "rootkit". Em outras palavras, o programa não aparece na lista de tarefas em execução do sistema. Ele é injetado diretamente no kernel para alterar funções do sistema operacional. De acordo com uma análise da fabricante de antivírus Kaspersky, a praga foi especificamente desenvolvida para atacar sistemas 64-bit baseados na distribuição Debian Squeezy.

    A alteração do conteúdo enviado ocorre com uma modificação na função do sistema que constrói os pacotes TCP/IP. O administrador que relatou o ataque descobriu respostas alteradas em um servidor de proxy usando o software "nginx", mas não se sabe se outros softwares poderiam também ter a resposta alterada pela praga.

    Usuários de Windows que visitarem páginas de um site hospedado em um servidor infectado podem também ser infectados por pragas digitais se não estiverem com o navegador web e plug-ins atualizados.

    De acordo com Georg Wicherski, especialista em segurança da CrowdStrike, é pouco provável que o vírus tenha sido desenvolvido para um uso específico, sendo parte de uma "operação de cibercrime genérica". Wicherski opinou que a qualidade do código é baixa e que certas partes do código funcionam por "sorte" do desenvolvedor, que seria um iniciante.

    Dados do Netcraft sugerem que 11,9% dos sites da web utilizam o nginx, sendo o terceiro servidor web mais popular, atrás do Internet Information Server (16,52%) e do Apache (57,23%).

    link: TI Rio
    Siga-nos em nosso twitter: @wht_brasil

  2. #2
    Louco pelo WHT Brasil
    Data de Ingresso
    Dec 2011
    Posts
    168
    Vírus? Ele se espalha como? Como a máquina é infectada? Alguém identificou essas informações nas notícias veiculadas?

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Vi um comentário em algum outro lugar onde essa noticia foi publicada, que seria necessário ter acesso root para instalação do virus.

    Logo, se alguém tiver acesso root do servidor, acredito que fara estragos muito maiores.
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  4. #4
    Banned
    Data de Ingresso
    Sep 2012
    Posts
    1
    Só com acesso root ? ele nao consegue se infectar sem isso então ?

  5. #5
    {topmember}
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro
    Posts
    596
    Essa notícia é importante, praticamente todos os servidores Linux que "conheço" usam o NGINX de alguma forma.

  6. #6
    Moderador
    Data de Ingresso
    Oct 2010
    Localização
    Rio de Janeiro
    Posts
    2,679
    Nem precisa de engenharia de magia negra como essa acima descrita. Semana passada eu peguei um caso de um site QUE ESTÁ sob o CloudFlare (e é o único com PHP da máquina, que é dedicada de um cliente), em que nego conseguiu colocar um script desses de cmd.php na instalação de Joomla deste site (como fez isso através do CF, não sei, mas direto é que não foi, pois o site em questão não tem host header para ser acessado diretamente do servidor), e dali passou a infectar as páginas com iframe oculto codificado em base64 apontando para sites de malware (e sendo listado no Google). Nem o maldetect que roda 2x ao dia na máuqina detectou, nem o ClamAV...

  7. #7
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    Citação Postado originalmente por cresci Ver Post
    Nem precisa de engenharia de magia negra como essa acima descrita. Semana passada eu peguei um caso de um site QUE ESTÁ sob o CloudFlare (e é o único com PHP da máquina, que é dedicada de um cliente), em que nego conseguiu colocar um script desses de cmd.php na instalação de Joomla deste site (como fez isso através do CF, não sei, mas direto é que não foi, pois o site em questão não tem host header para ser acessado diretamente do servidor), e dali passou a infectar as páginas com iframe oculto codificado em base64 apontando para sites de malware (e sendo listado no Google). Nem o maldetect que roda 2x ao dia na máuqina detectou, nem o ClamAV...
    um cliente nosso "pegou" ou instalou uma meleca desta usando um templete free e desrespeitando a maxima de que não existe almoço gratis.... #ficaadica
    Siga-nos em nosso twitter: @wht_brasil

  8. #8
    Quero ser Guru
    Data de Ingresso
    Nov 2010
    Posts
    40
    Citação Postado originalmente por Winger Ver Post
    um cliente nosso "pegou" ou instalou uma meleca desta usando um templete free e desrespeitando a maxima de que não existe almoço gratis.... #ficaadica
    Exatamente.. Assumindo que o problema foi no Joomla, com certeza deve ter sido algo através de uma falha em algum complemento ou até página no sistema, por este motivo, é sempre bom ter além de tudo uma boa configuração no mod_security que já deve evitar uma boa parte deste tipo de "ataques".
    Jordan Miguel

    BrasilHOSP - Hospedagem, Revenda, VPS e Cloud servers. (http://www.brasilhosp.com.br/)
    NetGerencia - Gerenciamento de Servidores. (http://www.netgerencia.com.br/)

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •