! [Hack do servidor Unix Linux](Unix_servers_hacked.webp)
Uma ampla campanha cibercriminosa tomou o controle de mais de 25.000 servidores Unix em todo o mundo, informou a ESET. Chamada de Operação Windigo, essa campanha maliciosa vem acontecendo há anos e usa um nexo de componentes de malware sofisticados que são projetados para sequestrar servidores, infectar os computadores que os visitam e roubar informações.
O pesquisador de segurança da ESET, Marc-Étienne Léveillé, diz:
- Windigo tem ganhado força, em grande parte despercebido pela comunidade de segurança, por mais de dois anos e meio, e atualmente tem 10.000 servidores sob seu controle. Mais de 35 milhões de mensagens de spam são enviadas todos os dias para contas de usuários inocentes obstruindo as caixas de entrada e colocando em risco os sistemas de computador. Pior ainda, a cada dia mais de meio milhão de computadores são colocados em risco de infecção, à medida que visitam sites que foram envenenados por malware de servidor da Web plantado pela Operação Windigo que redireciona para kits de exploração maliciosos e anúncios. *
> Claro, é dinheiro
O objetivo da Operação Windigo é ganhar dinheiro por meio de:
- Spam
- Infectando os computadores dos usuários da web por meio de downloads drive-by
- Redirecionando o tráfego da web para redes de publicidade
Além de enviar e-mails de spam, sites executados em servidores infectados tentam infectar computadores Windows com malware por meio de um kit de exploração. Os usuários de Mac recebem anúncios de sites de namoro e os proprietários de iPhone são redirecionados para conteúdo pornográfico online.
Isso significa que não infecta o Linux para desktop? Não posso dizer e relatar nada menciona sobre isso.
Por Dentro do Windigo
A ESET publicou um relatório detalhado com as investigações da equipe e análise de malware junto com orientações para descobrir se um sistema está infectado e instruções para recuperá-lo. De acordo com o relatório, a Operação Windigo consiste no seguinte malware:
- Linux/Ebury: roda principalmente em servidores Linux. Ele fornece um shell backdoor root e tem a capacidade de roubar credenciais SSH.
- Linux/Cdorked: roda principalmente em servidores web Linux. Ele fornece um shell backdoor e distribui malware do Windows para usuários finais por meio de downloads drive-by.
- Linux/Onimiki: roda em servidores DNS Linux. Ele resolve nomes de domínio com um padrão específico para qualquer endereço IP, sem a necessidade de alterar nenhuma configuração do lado do servidor.
- Perl/Calfbot: roda na maioria das plataformas suportadas por Perl. É um robô de spam leve escrito em Perl.
- Win32/Boaxxe.G: um malware para fraude de cliques e Win32/Glubteta.M, um proxy genérico, executado em computadores Windows. Essas são as duas ameaças distribuídas por download drive-by.
Verifique se o seu servidor é uma vítima
Se você é um administrador de sistemas, pode valer a pena verificar se seu servidor é uma vítima do Windingo. O ETS fornece o seguinte comando para verificar se um sistema está infectado com algum malware Windigo:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
Caso o seu sistema esteja infectado, é recomendável limpar os computadores afetados e reinstalar o sistema operacional e o software. Má sorte, mas é para garantir a segurança.
Via itsfoss.com. Você pode conferir o post original em inglês:
Over 10000 Unix Servers Infected With Trojan, 500,000 Computers At Risk Daily
Última atualização deste artigo: 16 de december de 2016
