Rootkit ใหม่บนลินุกซ์ แทรก iframe เข้าจากระดับ TCP
-
- ผลการให้คะแนน
- 10
Rootkit ใหม่บนลินุกซ์ แทรก iframe เข้าจากระดับ TCP
มีรายงานจากผู้ดูแลระบบที่ใช้ Debian Squeeze และ niginx 1.2.3 พบผู้ใช้เว็บของตัวเองรายงานว่าเว็บมีการ redirect ไปยังเว็บมัลแวร์ในบางครั้ง โดยเมื่อตรวจสอบซ้ำก็พบว่ามีการแทรก iframe ของเว็บมัลแวร์เข้าไปใน HTTP Reply จริง
เมื่อผู้ดูแลระบบคนนี้เข้าตรวจสอบ nginx ของตัวเองด้วยคำสั่ง strace กลับไม่พบว่า nginx พยายามส่งข้อมูลออกไปยังเน็ตเวิร์คที่พยายามเขียน iframe ดังกล่าวแต่อย่างใด จึงเข้าตรวจสอบ kernel แล้วจึงพบว่ามี rootkit ในเคอร์เนลเรียกฟังก์ชั่น write_startup_c และ get_http_inj_fr ที่ถูกฝังเข้ามา จากการวิเคราะห์พบว่า rootkit นี้ยังอยู่ระหว่างการพัฒนา มันมีขนาดถึง 500KB แต่ส่วนใหญ่เป็นข้อมูลดีบัก
ยังไม่ชัดเจนว่าแฮกเกอร์สามารถบุกรุกเครื่องเข้าไปติ ดตั้ง rootkit ที่ว่านี้ตั้งแต่ทีแรกได้อย่างไร
ที่มา - The Register, SecList, CrowdStrike
อ่านต่อ...
-
-
กฎการส่งข้อความ
- You may not post new threads
- You may not post replies
- You may not post attachments
- You may not edit your posts
-
Forum Rules
Bookmarks