WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Mã độc Mumblehard lây nhiễm trên server Linux và FreeBSD
Hàng nghìn máy tính và server web chạy hệ điều hành Linux và FreeBSD đã bị ảnh hưởng bởi mã độc nguy hiểm tồn tại trong suốt hơn 5 năm qua có khả năng biến các server thành nguồn phát tán spam (spambots).
Mã độc có tên Mumblehard được các nhà nghiên cứu của Eset phát hiện. Các nhà nghiên cứu đã ghi nhận hơn 8.500 địa chỉ IP duy nhất trong suốt 7 tháng và phát hiện có hơn 3.000 máy lây nhiễm chỉ trong 3 tuần vừa qua.
Mumblehard có 2 tính năng cơ bản:
•Backdoor
• Phát tán spam
Cả 2 tính năng này đều được viết bằng ngôn ngữ Perl
Backdoor cho phép hacker xâm nhập vào hệ thống và kiểm soát C&C server, sau đó gửi một lượng lớn các email spam từ máy chủ bị nhiễm.
Mumblehard đã hoạt động hơn 5 năm và thậm chí có thể lâu hơn mà không hề có bất kỳ sự gián đoạn nào. “Mã độc server Linux và OpenBSD hoạt động ngày càng phức tạp”, nhà nghiên cứu của Eset viết.
Mã độc Mumblehard Linux khai thác các lỗ hổng trên hệ thống quản lý nội dung WordPress và Joomla để xâm nhập vào các server.
Thêm vào đó, Mumblehard được phát tán qua việc cài đặt các phiên bản “lậu” của Linux và BSD có tên DirectMailer, phần mềm của Yellsoft được dùng để gửi email với số lượng lớn, được bán với giá 240 USD.
Vì vậy, khi người dùng cài đặt phiên bản lậu của phần mềm DirectMailer, mã độc Mumblehard sẽ đưa một backdoor vào máy chủ của người dùng, cho phép hacker gửi các tin nhắn spam.
Cách phòng tránh
Quản trị server Web nên kiểm tra server của mình có bị ảnh hưởng bởi Mumblehard bằng cách tìm kiếm các entry cronjob (được sử dụng bởi mã độc để chạy backdoor theo lịch đã định sẵn) trên hệ thống.
Backdoor thường nằm trong thư mục var / tmp hoặc folder tmp. Bạn có thể vô hiệu hoá backdoor này bằng cách mount thư mục tmp với tuỳ chọn noexec.
Mã độc có tên Mumblehard được các nhà nghiên cứu của Eset phát hiện. Các nhà nghiên cứu đã ghi nhận hơn 8.500 địa chỉ IP duy nhất trong suốt 7 tháng và phát hiện có hơn 3.000 máy lây nhiễm chỉ trong 3 tuần vừa qua.
Mumblehard có 2 tính năng cơ bản:
•Backdoor
• Phát tán spam
Cả 2 tính năng này đều được viết bằng ngôn ngữ Perl
Backdoor cho phép hacker xâm nhập vào hệ thống và kiểm soát C&C server, sau đó gửi một lượng lớn các email spam từ máy chủ bị nhiễm.
Mumblehard đã hoạt động hơn 5 năm và thậm chí có thể lâu hơn mà không hề có bất kỳ sự gián đoạn nào. “Mã độc server Linux và OpenBSD hoạt động ngày càng phức tạp”, nhà nghiên cứu của Eset viết.
Mã độc Mumblehard Linux khai thác các lỗ hổng trên hệ thống quản lý nội dung WordPress và Joomla để xâm nhập vào các server.
Thêm vào đó, Mumblehard được phát tán qua việc cài đặt các phiên bản “lậu” của Linux và BSD có tên DirectMailer, phần mềm của Yellsoft được dùng để gửi email với số lượng lớn, được bán với giá 240 USD.
Vì vậy, khi người dùng cài đặt phiên bản lậu của phần mềm DirectMailer, mã độc Mumblehard sẽ đưa một backdoor vào máy chủ của người dùng, cho phép hacker gửi các tin nhắn spam.
Cách phòng tránh
Quản trị server Web nên kiểm tra server của mình có bị ảnh hưởng bởi Mumblehard bằng cách tìm kiếm các entry cronjob (được sử dụng bởi mã độc để chạy backdoor theo lịch đã định sẵn) trên hệ thống.
Backdoor thường nằm trong thư mục var / tmp hoặc folder tmp. Bạn có thể vô hiệu hoá backdoor này bằng cách mount thư mục tmp với tuỳ chọn noexec.
Nguồn: The HackerNews
Chỉnh sửa lần cuối bởi người điều hành: