ESET waxay ogaatay 21 baakado xun oo bedelaya OpenSSH

ESET ayaa dhawaan sameysay qoraal (53 bogga PDF) halkaas oo ay ku tusinayso natiijooyinka iskaanka qaar ka mid ah xirmooyinka Trojan in hackers la rakibay ka dib markii ay waxyeelleeyeen martigaliyayaasha Linux.

Tani csi looga baxo albaab dambe ama lagu dhejiyo ereyada sirta ah ee isticmaalaha intaad ku xiraneyso martida kale.

Dhammaan noocyada la tixgeliyey ee barnaamijka 'Trojan' ayaa beddelay macmiilka OpenSSH ama qaybaha nidaamka adeegga.

Ku saabsan baakadaha la ogaaday

ka 18 ikhtiyaar oo la aqoonsaday ayaa ka mid ahaa shaqooyinka lagu joojinayo furayaasha gelitaanka iyo furayaasha sirta iyo 17 la siiyay shaqooyinka bannaanka taas oo u oggolaanaysa qofka wax weerara inuu si qarsoodi ah marin ugu helo marti-geliye la jabsaday isagoo adeegsanaya erey sir ah oo horay loo sii caddeeyay

Intaas waxaa sii dheer, lBaarayaasha waxay ogaadeen in sariirta gadaal ee SSH ee ay isticmaalaan howlwadeenada DarkLeech ay lamid tahay tan ay isticmaasho Carbanak dhowr sano ka dib iyo halyeeyadaas halista ah waxay soo saareen noocyo badan oo kakanaanta ah ee fulinta dibedda, laga soo bilaabo barnaamijyada xun ee ay heli karaan dadweynaha. Nidaamyada shabakada iyo shaybaarada.

Sidee ayay taasi ku suurta gashay?

Waxyaabaha xaasidnimada leh ayaa la geeyay ka dib markii lagu guuleystay weerar lagu qaaday nidaamka; sida caadiga ah, weeraryahannadu waxay marin ku heleen xulashada ereyga sirta ah ee caadiga ah ama iyagoo adeegsanaya nuglaanta aan la soo koobi karin ee ku jira codsiyada websaydhka ama wadayaasha serverka, ka dib markii nidaamyadii hore loo isticmaalay weerarro si loo kordhiyo mudnaantooda.

Taariikhda aqoonsiga ee barnaamijyadan xun waxay mudan yihiin fiiro gaar ah.

Intii lagu guda jiray falanqaynta Windigo botnet, cilmi baarayaashu fiiro gaar ah uyeelay koodhka lagu badalayo ssh-ka bannaanka hore ee Ebury, taas oo ka hor inta aan la bilaabin, la xaqiijiyey rakibidda bannaanka kale ee OpenSSH.

Si loo aqoonsado Trojans tartamaya, liis ay ku qoran yihiin 40 liis ayaa la adeegsaday.

Adeegsiga shaqooyinkan, Wakiilada ESET waxay ogaadeen in badankood aysan daboolin albaabadii hore ee hore loo yaqaanay ka dibna waxay bilaabeen inay raadiyaan dhacdooyinkii ka maqnaa, oo ay ku jiraan adeegsiga shabakad ka mid ah server-yada jilicsan ee malabka.

Natiijo ahaan, 21 Noocyada xirmooyinka Trojan ee loo aqoonsaday inay beddelayaan SSH, taas oo ku habboon sannadihii la soo dhaafay.

Maxay shaqaalaha ESET ku doodayaan arrintan?

Baarayaasha ESET-ka ayaa qirtay in aysan iyagu markii ugu horraysay ogaanayn faafitaanka. Sharaftaasi waxay u taal abuurayaasha barnaamij kale oo Linux ah oo loo yaqaan Windigo (aka Ebury).

ESET waxay leedahay inta lagu guda jiro falanqaynta Windigo botnet iyo bartamaheeda dhexe ee Ebury, waxay ogaadeen in Ebury ay leedahay farsamo gudaha ah oo raadineysa OpenSSH kale oo gudaha lagu rakibo gadaal.

Qaabka ay kooxda Windigo sidan u sameysay, ESET waxay tiri, iyadoo la adeegsanayo qoraal Perl ah oo lagu baaray 40 saxiix oo faylasha ah (xashiish).

"Markii aan baarnay saxeexyadan, waxaan si dhakhso leh u ogaanay in aanaan haysan wax shaybaar ah oo u dhigma inta badan albaabada dambe ee lagu sharaxay qoraalka," ayuu yiri Marc-Etienne M. Léveillé, oo ah falanqeeye khayaanada ESET.

"Howl wadeenada malwarerku waxay runti ka aqoon iyo aragti badnaayeen albaabada dambe ee SSH sidii aan u haysanay," ayuu raaciyay.

Warbixinta kuma faahfaahin faahfaahinta sida howlwadeenada botnet ay u aasaan noocyadan OpenSSH martida cudurka qaba.

Laakiin haddii aan wax ka baranay warbixinnadii hore ee ku saabsan hawlgallada khayaanada Linux, waa taas Hackers-ku badanaa waxay ku tiirsan yihiin isla farsamooyinkii hore si ay boos ugu helaan nidaamyada Linux:

Xoog caayaan ama weerarada qaamuuska ee iskudaya inaad malayso furaha sirta ah ee SSH. Adeegsiga furayaasha sirta ah ee adag ama kuwa gaarka ah ama nidaamka shaandhaynta IP ee soo galitaanka SSH waa inay ka hortagaan noocyada weerarada.

Ka faa'iideysiga nuglaanta barnaamijyada ku shaqeeya serverka Linux (tusaale ahaan, codsiyada webka, CMS, iwm.).

Haddii arjiga / adeegga si khaldan loogu qaabeeyey helitaanka xididka ama haddii weeraryahanku ka faa'iideysto cillad kor u qaadista mudnaanta, cillad guud oo bilow ah oo ka mid ah plugins-ka hore ee WordPress ayaa si fudud loogu kordhin karaa nidaamka hawlgalka aasaasiga ah.

In wax walba laga dhigo mid cusub, nidaamka qalliinka iyo barnaamijyada ku shaqeeya labadaba waa inay ka hortagaan weerarka noocan ah.

Se waxay diyaariyeen qoraal iyo sharciyo loogu talagalay fayraska antivirus iyo miis muhiim ah oo leh astaamo nooc kasta oo SSH Trojans ah.

Faylasha ay saameysay Linux

Sidoo kale faylal dheeri ah oo lagu abuuray nidaamka iyo furaha sirta ah ee marinka looga soo galo albaabka dambe, si loo aqoonsado qaybaha OpenSSH ee la beddelay

Tusaale ahaan, xaaladaha qaarkood, feylasha sida kuwa loo isticmaalo in lagu duubo ereyada sirta ah ee la qabto:

• "/Usr/include/sn.h",
• "/Usr/lib/mozilla/extensions/mozzlia.ini",
• "/Usr/local/share/man/man1/Openssh.1",
• "/ Etc / ssh / ssh_known_hosts2",
• "/Usr/share/boot.sync",
• "/Usr/lib/libpanel.so.a.3",
• "/Usr/lib/libcurl.a.2.1",
• "/ Var / log / utmp",
• "/Usr/share/man/man5/ttyl.5.gz",
• "/Usr/share/man/man0/.cache",
• "/Var/tmp/.pipe.sock",
• "/Etc/ssh/.sshd_auth",
• "/Usr/include/X11/sessmgr/coredump.in",
• «/ Etc / gshadow–«,
• "/Etc/X11/.pr"