Linux Webserver Rootkit атакует пользователей Internet

Производитель антивирусного ПО выпустил анализа руткита, который недавно появился на в списках рассылок по безопасности.

Rootkit.Linux.Snakso.a предназначен для заражения Linux версии ядра 2.6.32-5-amd64 и добавляет IFRAME во все веб-страницы, заражая Linux сервера через web и прокси сервер Nginx.

Объем кода при этом достаточно велик - более 500 тыс. строк, в том числе отладочной информации и лаборатории Касперского отметил, что "некоторые из функций, кажется, не в полной мере работают или они не полностью реализованы."

Исследователь безопасности Georg Wicherski отметил, что код руткита не основан ни на одном из общедоступных вариантов создания руткитов, но его создал программист, не имеющий достаточный опыт работы с ядрами Linux. И очень похоже, что данный руткит был создан в России.

Эксперты по безопасности пришли к выводу, что качество кода и его работы очень не удовлетворительное для серьезных целенаправленных атак и больше похоже на "пробу пера". К примеру не обрабатывается обратный запрос HTTP от сервера, что в конце концов и привело к обнаружению этого руткита.