você está aqui: Home  → Arquivo de Mensagens

Servidores Linux com Nginx são alvos de rootkit

Colaboração: Alexandro Silva

Data de Publicação: 28 de novembro de 2012

No dia 13 de novembro foi divulgado na lista Full-disclosure um novo rootkit que tem como alvo servidores Linux usando o webserver Nginx.

Segundo stack trace, vítima do ataque, o malware adiciona um iFrame malicioso na resposta HTTP enviada pelo servidor web. Após o comprometimento o servidor passa a encaminhar as requisições para outros sites maliciosos. Além disso um Blackhole varre o host do visitante a procura de falhas no Java, Flash entre outras aplicações rodando na máquina cliente.

Foi descoberto até o momento um módulo especifico para o kernel 2.6.32-5-amd64, presente no Debian Linux. Pesquisadores da Karpersky Labs nomearam o malware como Rootkit.Linux.Snakso.a. Outra análise bastante interessante é do pesquisador Georg Wicherski da CrowdStrike. Ele considerou o rootkit como parte da operação do cybercrime e que pelas técnicas adotadas foi desenvolvido por programador russo sem muito conhecimento do kernel.

Medidas Preventivas

Realmente não existe mágica na proteção contra novos malwares porém posso sugerir algumas recomendações básicas:

  • Manter uma rotina de varredura de antivirus mesmo em servidores Linux;
  • Utilizar um IDS ou um WAF e monitorá-lo diariariamente;
  • Utilizar um HIDS alertando sobre modificações das páginas hospedadas no servidor.
  • Utilizar camadas de segurança de kernel como SELinux,GRsecurity ou Tomoyo;
  • Identificando comportamentos anormais no servidor ou site usar comandos para identificar atividades maliciosas como strace (e.g. strace -fp PID) e lsof (e.g. lsof -i)
  • Sempre que identificar um servidor ou site comprometido bloquear os acessos imediatamente.

Blog do autor


Veja a relação completa dos artigos de Alexandro Silva