The world of Internet acquired name. The Internet World - New Portal / Forum / Blog with news, athletically, music, hardware, software, internet, games and relaxed talk. | Ο κόσμος του Internet απέκτησε όνομα. Το The Internet World - Νέο Portal / Forum / Blog με ειδήσεις, αθλητικά, μουσική, hardware, λογισμικό, διαδίκτυο, παιχνίδια και χαλαρή κουβεντούλα

Facebook Page Facebook Group Twitter Linkedin Youtube MySpace RSS Feed The Internet World (Blog) By Wordpress Blog Powered By Blogspot Blog Powered By Wordpress


Results 1 to 1 of 1

Thread: Operation Windigo: 10.000 μολυσμένοι linux servers ανακατευθύνουν 500.000 επισκέπτες σε κακόβουλα sites καθημερινά

  1. #1
    Ομάδα Διαχείρισης
    Points: 104,721, Level: 100
    Level completed: 0%, Points required for next Level: 0
    Overall activity: 0%
    Achievements:
    Created Blog entryVeteranOverdriveYour first Group50000 Experience Points
    admin's Avatar
    Join Date
    Sep 2006
    Location
    Athens , Greece
    Posts
    1,868
    Country: Greece
    Points
    104,721
    Level
    100
    Blog Entries
    1
    Downloads
    5
    Uploads
    19

    Operation Windigo: 10.000 μολυσμένοι linux servers ανακατευθύνουν 500.000 επισκέπτες σε κακόβουλα sites καθημερινά

    Η ESET δημοσίευσε την τεχνική ανάλυση του Linux/Ebury OpenSSH backdoor και υποκλοπέα credentials που ανακάλυψε τον προηγούμενο μήνα και που εδώ και αρκετές εβδομάδες έχει μολύνει χιλιάδες servers που τρέχουν linux.

    Με την κωδική ονομασία Operation Windigo το όλο σχήμα λειτουργεί με βάση μολυσμένα συστήματα, έχοντας μολύνει 25.000 linux servers τα τελευταία 2 χρόνια με πάνω από 10.000 να είναι ακόμα και σήμερα μολυσμένοι, ενώ το γκρουπ πίσω από την μόλυνση υποκλέπτει δεδομένα από τους επισκέπτες των servers, ανακατευθύνει τα θύματα του σε κακόβουλο περιεχόμενο και στέλνει μηνύματα spam.

    Credential Stealing

    Credentials are intercepted at multiple locations, when they are typed or used by the victim:

    Password from successful login to the infected server: Whenever someone logs in a system infected with Linux/Ebury, the sshd daemon will save the password and send it to the exfiltration server.

    Any password login attempt to the infected server: Even if the attempt is unsuccessful, the username and password used will be sent to the operators. They will be formatted differently, however, allowing the operators to differentiate these invalid credentials from the valid ones.

    Password on successful login from the infected server: When someone uses the ssh client on an infected server, Linux/Ebury will intercept the password and sent it to its exfiltration server.

    Private key passphrase: When the ssh client on an infected server prompts the user for an private key passphrase, the passphrase will be sent to the remote exfiltration server.

    Unencrypted private key: When a private key is used to authenticate to a remote server, the unencrypted version is intercepted by the malware. Unlike passwords, it will not send the key to the exfiltration server. Instead, it will store it memory and wait for the operators to fetch the key with the Xcat command.

    Private keys added to the OpenSSH agent with ssh-add: The keys added to an OpenSSH agent are also intercepted by the malware. Both the unencrypted key itself and the passphrase typed by the user will be logged.

    Whatever the credential type, Linux/Ebury will add all relevant information for the operators to be able to use it, like the username, the target IP address and its OpenSSH listening port.

    Το πρόβλημα είναι εντονότερο στις Γερμανία, Γαλλία, Αγγλία και Αμερική και οι μολυσμένοι servers
    ανακατευθύνουν καθημερινά 500.000 επισκέπτες σε κακόβουλα sites και τα ευάλωτα λειτουργικά τους περιλαμβάνουν Linux, FreeBSD, OpenBSD, OS X, και Windows (με Perl μέσω Cygwin).

    Πηγή : The NextWeb

    Technical Analysis by ESET

    ADSLgr.com

    The Internet World - Hidden Content
    Ομάδα Διαχείρισης και Συντονισμού

    Hidden Content

    Αν έχετε κινητό τηλέφωνο Apple IPhone η κάποια συσκευή Android ή κάποιο Τablet (Android/IPad). Δοκιμάστε το Hidden Content (Hidden Content or Hidden Content ) ή το Hidden Content (Hidden Content or Hidden Content or Hidden Content or Hidden Content ) ώστε να αποκτήσετε πρόσβαση στην ιστοσελίδα μας

    Hidden Content στο The Internet World σημαίνει ότι μεγαλώνετε την online παρέα μας.


  2. # ADS
    Circuit advertisement
    Join Date
    Always
    Location
    Advertising world
    Posts
    Many


     

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  



Use OpenDNS