ESET એ 21 દૂષિત પેકેજીસ ઓળખ્યા કે જેઓ OpenSSH ને બદલે છે

Darkcrizt

4 મિનિટ

એસેટ લિનક્સ

ESET એ તાજેતરમાં એક પોસ્ટ કરી (53 પૃષ્ઠ પીડીએફ) જ્યાં તે કેટલાક ટ્રોજન પેકેજોના સ્કેનનાં પરિણામો બતાવે છે લિનક્સ હોસ્ટ સાથે સમાધાન કર્યા પછી હેકર્સ ઇન્સ્ટોલ થયાં હતાં.

આ સીપાછળનો દરવાજો છોડવા અથવા વપરાશકર્તા પાસવર્ડોને અટકાવવા માટે અન્ય યજમાનો સાથે કનેક્ટ કરતી વખતે.

ટ્રોજન સ softwareફ્ટવેરના તમામ માનવામાં આવતા પ્રકારોએ OpenSSH ક્લાયંટ અથવા સર્વર પ્રક્રિયા ઘટકો બદલી નાખ્યા છે.

શોધાયેલ પેકેટો વિશે

ઓળખાયેલ 18 વિકલ્પોમાં ઇનપુટ પાસવર્ડ્સ અને એન્ક્રિપ્શન કીઓ અને 17 પ્રદાન કરેલા બેકડોર ફંક્શન્સને અટકાવવાનાં કાર્યો શામેલ છે જે કોઈ પૂર્વવ્યાખ્યાયિત પાસવર્ડનો ઉપયોગ કરીને કોઈ હુમલાખોરને ગુપ્ત રીતે હેક હોસ્ટની gainક્સેસ મેળવવા દે છે.

તદુપરાંત, એલસંશોધનકારોએ શોધી કા that્યું હતું કે ડાર્કલીચ ઓપરેટરો દ્વારા ઉપયોગમાં લેવાયેલ એસએસએચ બેકડોર કાર્બનાક દ્વારા ઉપયોગમાં લેવામાં આવતા જેવું જ છે થોડા વર્ષો પછી અને તે ધમકીભર્યા કલાકારોએ જાહેરમાં ઉપલબ્ધ દૂષિત કાર્યક્રમોથી માંડીને બેકડોર જમાવટમાં વિશાળ જટિલતા વિકસાવી હતી. નેટવર્ક પ્રોટોકોલ અને નમૂનાઓ.

આ કેવી રીતે શક્ય હતું?

સિસ્ટમ પરના સફળ હુમલો પછી દૂષિત ઘટકોને તૈનાત કરવામાં આવ્યા હતા; નિયમ પ્રમાણે, હુમલાખોરોએ લાક્ષણિક પાસવર્ડોની પસંદગી દ્વારા અથવા વેબ એપ્લિકેશન અથવા સર્વર ડ્રાઇવરોમાં અનુપક્ષી નબળાઈઓનો ઉપયોગ કરીને પ્રવેશ મેળવ્યો, તે પછી જૂની સિસ્ટમોએ તેમના વિશેષાધિકારોમાં વધારો કરવા હુમલાઓનો ઉપયોગ કર્યો.

આ દૂષિત પ્રોગ્રામ્સની ઓળખ ઇતિહાસ ધ્યાન આપવાનું પાત્ર છે.

વિન્ડિગો બોટનેટ વિશ્લેષણ કરવાની પ્રક્રિયામાં, સંશોધનકારો એબ્યુરી બેકડોર સાથે એસ.એસ.એસ.ને બદલવા માટે કોડ પર ધ્યાન આપ્યું, જે લોંચ કરતા પહેલા, ઓપનએસએસએચ માટે અન્ય બેકડોર્સના ઇન્સ્ટોલેશનની ચકાસણી કરી.

સ્પર્ધાત્મક ટ્રોજનને ઓળખવા માટે, 40 ચેકલિસ્ટ્સની સૂચિનો ઉપયોગ કરવામાં આવ્યો હતો.

આ કાર્યોનો ઉપયોગ કરીને, ESET ના પ્રતિનિધિઓએ શોધી કા .્યું કે તેમાંથી ઘણા લોકો અગાઉના પાછલા દરવાજાઓને આવરી લેતા નથી અને ત્યારબાદ તેઓએ ગુમ થયેલ હનીપોટ સર્વર્સના નેટવર્કની જમાવટ સહિત ગુમ થયેલ દાખલાઓ શોધવાનું શરૂ કર્યું.

પરિણામે, 21 ટ્રોજન પેકેજ ચલો SSH ને બદલવા તરીકે ઓળખાય છે, જે તાજેતરના વર્ષોમાં સંબંધિત રહે છે.

લિનક્સ_સુરક્ષા

ESET ના કર્મચારીઓ આ બાબતે શું દલીલ કરે છે?

ઇએસઇટી સંશોધનકારોએ સ્વીકાર્યું કે તેઓ આ ફેલાવોનો પ્રથમ હાથ શોધી શક્યા નથી. તે સન્માન વિન્ડિગો (ઉર્ફે એબ્યુરી) નામના બીજા લિનક્સ માલવેરના નિર્માતાઓને જાય છે.

ESET કહે છે કે વિન્ડિગો બોટનેટ અને તેની મધ્ય એબ્યુરી બેકડોરનું વિશ્લેષણ કરતી વખતે, તેઓએ શોધી કા Eb્યું કે એબ્યુરી પાસે એક આંતરિક મિકેનિઝમ છે જે સ્થાનિક રીતે ઇન્સ્ટોલ કરેલા અન્ય ઓપનએસએચ પાછળના દરવાજા શોધતી હતી.

વિન્ડિગો ટીમે જે રીતે વિન્ડિગોની ટીમે આ કર્યું તે, ઇએસઇટીએ કહ્યું કે, પર્લ સ્ક્રિપ્ટનો ઉપયોગ કરીને 40 ફાઇલ સહીઓ (હેશ) સ્કેન કરી હતી.

"જ્યારે અમે આ હસ્તાક્ષરોની તપાસ કરી, ત્યારે અમને ઝડપથી સમજાયું કે અમારી પાસે કોઈ નમૂનાઓ નથી જે સ્ક્રિપ્ટમાં વર્ણવેલ મોટાભાગના ઘરના દરવાજા સાથે મેળ ખાતા હતા," માર્ક-ઇટિએન એમ. લ્યુવિલીએ, ઇએસઇટી મ malલવેર વિશ્લેષકે જણાવ્યું હતું.

તેમણે ઉમેર્યું, "મ didલવેર ઓપરેટરો પાસે ખરેખર કરતા આપણે કરતા એસએસએચનું વધુ જ્ knowledgeાન અને દૃશ્યતા હતી."

રિપોર્ટ બ Openટનેટ torsપરેટર્સ આ ઓપનએસએચએચ સંસ્કરણોને કેવી રીતે રોપવે છે તેની વિગતોમાં નથી ચેપગ્રસ્ત યજમાનો પર.

પરંતુ જો આપણે લિનક્સ મ malલવેર onપરેશન વિશેના પાછલા અહેવાલોમાંથી કંઈપણ શીખ્યા હોય, તો તે છે લિનક્સ સિસ્ટમ્સ પર પગ રાખવા માટે હેકર્સ ઘણી વાર એ જ જૂની તકનીકો પર આધાર રાખે છે:

ઘાતક બળ અથવા શબ્દકોશના હુમલાઓ જે એસએસએચ પાસવર્ડ્સનો અનુમાન લગાવવાનો પ્રયાસ કરે છે. એસએસએચ લ logગિન માટે મજબૂત અથવા અનન્ય પાસવર્ડ્સ અથવા આઇપી ફિલ્ટરિંગ સિસ્ટમનો ઉપયોગ આ પ્રકારના હુમલાઓને અટકાવવો જોઈએ.

લિનક્સ સર્વર પર ચાલતી એપ્લિકેશન્સમાં નબળાઈઓનું શોષણ (ઉદાહરણ તરીકે, વેબ એપ્લિકેશન, સીએમએસ, વગેરે).

જો એપ્લિકેશન / સેવાની રૂટ accessક્સેસ સાથે ખોટી ગોઠવણી કરવામાં આવી છે અથવા જો કોઈ હુમલાખોર કોઈ વિશેષાધિકૃત વૃદ્ધિના દોષનો દુરુપયોગ કરે છે, તો જૂના વર્ડપ્રેસ પ્લગઈનોનો સામાન્ય પ્રારંભિક ખામી સરળતાથી અંતર્ગત operatingપરેટિંગ સિસ્ટમ પર વધી શકે છે.

બધું અદ્યતન રાખવું, operatingપરેટિંગ સિસ્ટમ અને તેના પર ચાલતી એપ્લિકેશનો બંનેને આ પ્રકારના હુમલાને અટકાવવી જોઈએ.

Se તેઓએ એન્ટીવાયરસ માટે સ્ક્રિપ્ટ અને નિયમો અને દરેક પ્રકારના એસએસએચ ટ્રોજનની લાક્ષણિકતાઓ સાથે ગતિશીલ કોષ્ટક તૈયાર કર્યું.

લિનક્સ પર અસરગ્રસ્ત ફાઇલો

તેમજ સિસ્ટમમાં બનાવેલ અતિરિક્ત ફાઇલો અને પાછળના દરવાજા દ્વારા પ્રવેશ માટે પાસવર્ડ્સ, જે બદલાઈ ગયેલા ઓપનએસએચએચ ઘટકોની ઓળખ કરવા માટે.

ઉદાહરણ તરીકે, કેટલાક કિસ્સાઓમાં, ફાઇલો જેમ કે ઇન્ટરસેપ્ટેડ પાસવર્ડ્સ રેકોર્ડ કરવા માટે વપરાય છે:

  • "/Usr/incolve/sn.h",
  • "/Usr/lib/mozilla/ એક્સ્ટેંશન / mozzlia.ini",
  • "/Usr/local/share/man/man1/Openssh.1",
  • "/ વગેરે / એસ.એસ.એસ. / એસ.એસ._જ્_ાન_હોસ્ટ્સ 2",
  • "/Usr/share/boot.sync",
  • "/Usr/lib/libpanel.so.a.3",
  • "/Usr/lib/libcurl.a.2.1",
  • "/ વાર / લ logગ / ઉત્તમ",
  • "/Usr/share/man/man5/ttyl.5.gz",
  • "/Usr/share/man/man0/.cache",
  • "/Var/tmp/.pipe.sock",
  • "/Etc/ssh/.sshd_auth",
  • "/Usr/incolve/X11/sessmgr/coredump.in",
  • «/ વગેરે / ગ્શેડો– –,
  • "/Etc/X11/.pr"

તમારી ટિપ્પણી મૂકો

તમારું ઇમેઇલ સરનામું પ્રકાશિત કરવામાં આવશે નહીં. આવશ્યક ક્ષેત્રો સાથે ચિહ્નિત થયેલ છે *

*

*

  1. ડેટા માટે જવાબદાર: AB ઈન્ટરનેટ નેટવર્ક્સ 2008 SL
  2. ડેટાનો હેતુ: નિયંત્રણ સ્પામ, ટિપ્પણી સંચાલન.
  3. કાયદો: તમારી સંમતિ
  4. ડેટાની વાતચીત: કાયદાકીય જવાબદારી સિવાય ડેટા તૃતીય પક્ષને આપવામાં આવશે નહીં.
  5. ડેટા સ્ટોરેજ: cસેન્ટસ નેટવર્ક્સ (ઇયુ) દ્વારા હોસ્ટ કરેલો ડેટાબેઝ
  6. અધિકાર: કોઈપણ સમયે તમે તમારી માહિતીને મર્યાદિત, પુન recoverપ્રાપ્ત અને કા deleteી શકો છો.

  1.   nickd89 જણાવ્યું હતું કે
    બનાવે છે 5 વર્ષ

    રસપ્રદ લેખ
    ડિરેક્ટરીઓમાં એક પછી એક શોધો અને એક મળી
    "/ Etc / gshadow–",
    જો હું તેને કા deleteી નાખીશ તો શું થશે

    Nickd89 ને જવાબ આપો
  2.   જોર્જ જણાવ્યું હતું કે
    બનાવે છે 5 વર્ષ

    તે "ગશીડો" ફાઇલ પણ મને દેખાય છે અને તેનું વિશ્લેષણ કરવા માટે રૂટ પરવાનગીની માંગણી કરે છે ...

    જોર્જને જવાબ આપો