Среди специалистов бытует мнение, что руткит затачивался специально под сервера, управляющиеся 64-разрядной версией Debian Squeeze и Nginx.
Анализ руткита показал, что он осуществляет вставки HTML IFRAME на каждую страницу с зараженного сервера, заменяя код, создающий TCP/IP-пакеты (tcp_sendmsg), своим собственным.
Руткит, опознанный Лабораторией Касперского как Rootkit.Linux.Snasko.a, считается новинкой. Так как он заражает весь сервер, а не какие-то определенные страницы, он может повлиять на работу десятков и сотен сайтов, заразив, к примеру, сервер хостинг-провайдера.
По словам специалиста из Crowdstrike, руткит с большой долей вероятности был создан русским хакером, у которого было не так-то много опыта. При этом спец добавляет, что подобный руткит можно успешно использовать в случаях, когда нужно произвести атаку на какую-либо целевую аудиторию и практически не оставить следов.
ссылка на оригинал статьи http://habrahabr.ru/post/159757/
Добавить комментарий