Hlavní navigace

Malware pro Linux a FreeBSD unikal pět let a rozesílal spam

Sdílet

Petr Krčmář 4. 5. 2015

Pět let se podařilo nepozorovaně šířit malware zvaný Mumblehard. Ten se umí usadit na serveru s Linuxem a FreeBSD a rozesílat spam. Objevili jej výzkumníci společnosti Eset, kteří za sedm měsíců objevili 8500 infikovaných serverů a v posledních třech týdnech se k nim přidaly další 3000. Malware je aktivní, za posledního půl roku se počet napadených strojů zdvojnásobil. Podrobnosti firma zveřejnila v rozsáhlé zprávě [PDF].

Malware do serveru vniká dírami v redakčních systémech Joomla a WordPress, případně si jej správce může sám nainstalovat v ilegální kopii software DirectMailer. Mumblehard se skládá ze dvou částí: backdooru a spamovacího démona. Backdoor je uložen v /tmp  nebo /var/tmp a je aktivován každých 15 minut pomocí cronjobu. Obě části jsou napsány v Perlu a do počítače si malware dokonce přinese vlastní interpreter tohoto jazyka.

Spamovací démon pak na příkazy centrálního serveru rozesílá spam a rychle dostává IP adresy serverů na blacklisty. Pokud chcete zkontrolovat svůj server, podívejte se do crontabu všech uživatelů a pátrejte po neznámých úlohách. Dobrý nápad je také nastavit dočasným adresářům příznak noexec.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 6. 5. 2015 8:11

    Brm (neregistrovaný) ---.chello.sk

    A spamy to posiela cez uz existjuci MTA (postfix, sendmail) alebo to riesi nejako po svojom ?

  • 6. 5. 2015 22:54

    Tomáš2 (neregistrovaný) ---.cust.vodafone.cz

    Po svém, jinak by byl třeba jednošeji detekovatelný. Částečně se dopady dají minimalizovat správně nastaveným spf.

    PS: o kolik je jednoduší napsat do diskuze než otevřít odkazované pdf?

  • 11. 5. 2015 23:35

    Kolemjdoucí (neregistrovaný) 2a02:25b0:aaaa:----:----:----:----:----

    Kombinace odesílatele který spf používá s příjemcem který spf vyhodnocuje je natolik řídká že to mohou spammeři v pohodě ignorovat, stejně jako jakoukoliv jinou antispamovou techniku - prostě to přetlačí hrubou silou, stačí jim doručit jen část z odeslaných mailů.

    PS: podle mě je přibližně stejně jednoduché napsat do diskuse nebo otevřít odkazované pdf. Rozdíl je v tom že napsání do diskuse obvykle přinese odpověď, zatímco otevření odkazovaného pdf nikoliv - tam je ještě potřeba čtení a pochopení, což je mnohem složitejší.