Специалисты из российской компании «Яндекс» обнаружили новый вид вредоносного ПО, который угрожает веб-серверам под операционными системами семейства *nix.

Программа под названием Mayhem на первый взгляд выглядит как PHP-скрипт. После запуска она убивает все процессы ‘/usr/bin/host’, определяет архитектуру ОС (x64 или x86), тип системы (Linux или FreeBSD) и размещает вредоносный файл ‘libworker.so’. На скриншоте показана первая часть скрипта.

000

Затем PHP-дроппер создаёт шелл-скрипт под названием 1.sh и запускает его на исполнение.

001

По информации «Яндекса», зловред Mayhem заразил около 1400 серверов под Linux и FreeBSD. Эксперты предполагают, что Mayhem является продолжением атаки с брутфорсом паролей Fort Disco, которая началась в мае 2013 года. По крайней мере, Mayhem поддерживает расширения для брутфорса.



7 комментариев

  1. 21.07.2014 at 13:30

    и че? где рекомендации к действию?

    • 21.07.2014 at 13:41

      тут же все написали. Брутфорс, сам скрипт как называется, сигнатуру его привели. Что еще нужно для удаления?

      Разве на руткиты проверить еще.

  2. 21.07.2014 at 17:18

    Линуксу конец даже не начавшись.

    • http://linux0id.esy.es/

      21.07.2014 at 20:04

      Начался давно-давным, а до конца ты не доживешь

    • 21.07.2014 at 20:41

      Чтобы понять, что именно хотел сказать этот школьинк, нужно учиться с ним в одном классе и знать русский язык на том уровне, на котором пишет он, хотя, можно даже не знать.

    • 21.07.2014 at 23:44

      Получи печенько

    • 27.07.2014 at 13:51

      А нефиг ПХП юзать, это уязвимость ПХП
      Да и грамотно настроенный сервер не убить этим

Оставить мнение