tiistai 5. toukokuuta 2015

Missä Linuxin tietoturva? Palvelimet lähettävät roskapostia

Mumblehard on roskapostidaemonin ja etäyhteydet mahdollistavan takaportin yhteisnimi. Haitake kiemurtelee itsensä Linux/BSD-järjestelmiin paikkaamattomien sisällönhallintajärjestelmien (CMS) kautta ja muuttaa järjestelmää siten että ne lähettävät roskapostia.

Mumblehard pääsee järjestelmään sisälle kahdella eri tavalla, ensimmäinen on Joomla, sekä Wordpress -sisällönhallintajärjestelmien kautta, joita ei olla päivitetty uusimpiin versioihin ja toinen on piratisoitu versio DirectMailer sovelluksesta jonka avulla voi lähettää ryhmäsähköposteja.

Kun haitake on päässyt järjestelmään, asentaa se roskapostisovelluksen palveluksi (daemon) järjestelmän taustalle, samalla myös avaten takaportin jonka avulla hyökkääjä voi hallita järjestelmää mielivaltaisesti, esimerkiksi sulkea palveluita, ajaa omaa koodia, suorittaa komentoja, poistaa tiedostoja…

Esetin raportin mukaan he ovat löytäneet verkosta noin seitsemän kuukauden monitoroinnin aikana yli 8 800 IP-osoitetta jotka kaikki ovat Mumblehardin saastuttamia, yli 3 500 yksilöityä palvelinta on saastunut vasta 3 viikon sisällä.

Suurin osa saastuneista palvelimista kuuluu hosting-palveluita tarjoaville yrityksille.

Kauan toiminut ilman häiriötekijöitä:

Nyt epäillään että Mumblehard on ollut kuvioissa jo viitisen vuotta, ilman minkäänlaista häiriötä tai epäillystä miltään taholta, joten haitakkeen ylläpitäjillä on varmasti melkoinen tili jo saavutettuna.

Käyttää melko yksinkertaista keinoa roskapostin levittämiseen:

Mumblehard hyödyntää jokaisessa Linux/BSD-asennuksessa mukana tulevaa cronia eli järjestelmän ajastus tai automatisointitoimintoa, siten se on myös helppo havaita jos vain järjestelmien ylläpitäjät käyttävät sitä, sillä Mumblehard lisää itsensä tavalliseksi cron ajoksi joka tapahtuu aina 15 minuutin välein, luulisi että ylläpitäjät seuraisivat cron asetustiedostoa.

Takaportti taas löytyy järjestelmän /tmp -hakemistosta, kun sen on poistanut voi sen uudelleen ilmaantumisen estää liittämällä /tmp hakemiston järjestelmään optiolla noexec.

LÄHDE: THN