Muitas notícias em sites deveras famosos mostram um tal de Xor.DDos como um malaware que explora as "fraquezas" do linux, mas parece que tais sites ou não tem o conhecimento técnico, não sabem traduzir ou simplesmente foram comprados pela concorrente.
Xor.DDos é um site que faz ataques a servidores linux e a dispositivos embarcados como roteadores por exemplo, mas diferente do sistema da Microsoft no qual o malaware explora o sistema em si o Xor.DDos explora uma falha aberta no sistema e não que o sistema tenha um buraco no qual é possível entrar o verme. Isso porque o linux é opensource e o processo de conserto das falhas se dá em minutos depois da falha ser descoberta.
Como ele funciona?
Simples, ele procura por servidores com provável vulnabilidade no ssh, o ssh para aqueles que não sabem é um prototolo que permite o acesso remoto às máquinas. Achando tais servidores ele lança um ataque massivo para tentar encontrar as senhas do servidor, se achar ele lê os cabeçalho dos módulos do kernel e retorna para o servidores dele que produzem um malaware específico, possibilitando que o verme se esconda e utilize-se da rede.
A falha no caso é do administrador do sistema, pois bastaria desativar o ssh para o root, ou mesmo bloquear tentativas repetidas de login ou dar acesso apenas por um determinado IP até mesmo a mudança da porta que funciona o ssh poderia funcionar.
Para quem quer aprender um pouco mais:
O nome Xor DDos foi dado pois o malware usa cifra Xor para esconder os comandos e o tráfego de rede. Ele usa o formato de arquivo ELF Executable and Linkable Format que dá a capacidade do malware ser tão maleável a ponto de executar em processadores ARMs também.ELF esquema:
Diagnóstico:
O objetivo do malware é mandar ataques DDos então é óbvio que dando um comando netstat ou tcpdump você verá alguns pacotes sendo enviados.
Você poderá ver novos arquivos executáveis em /etc/init.d ou em /usr/bin e uma série de novos comandos no crontab como na imagem a baixo(com arquivos no init.d):
O malware pode ser assustador de começo mas não é um monstro e basta estar com o sistema atualizado e tomar algumas medidas de segurança (principalmente para os administradores de sistemas). Vou deixar alguns links a baixo com explicações mais completas e como agradecimento pelo conhecimento.
Fontes:
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3471
http://linux.about.com/library/cmd/blcmdl8_tcpdump.htm
https://en.wikipedia.org/wiki/XOR_cipher
http://www.linuxhowtos.org/Network/netstat.htm
http://blog.malwaremustdie.org/2014/09/mmd-0028-2014-fuzzy-reversing-new-china.html
Em especial,se estiver infectado visite:
http://bartblaze.blogspot.com.br/2015/09/notes-on-linuxxorddos.html#Resources
Nenhum comentário:
Postar um comentário
Obrigado pelo seu comentário, vamos responder assim que possível.