Mumblehard – mã độc mới tấn công máy chủ Linux và FreeBSD
Hàng trăm nghìn máy tính và máy chủ web sử dụng hệ điều hành Linux và FreeBSD đã bị lây nhiễm một loại mã độc tinh vi trong suốt 5 năm qua, biến thiết bị thành spambot. Mã độc Mumblehard trên Linux mới được phát hiện bởi các nhà nghiên cứu bảo mật từ công ty Eset được đặt tên ...
Hàng trăm nghìn máy tính và máy chủ web sử dụng hệ điều hành Linux và FreeBSD đã bị lây nhiễm một loại mã độc tinh vi trong suốt 5 năm qua, biến thiết bị thành spambot.
Mã độc Mumblehard trên Linux mới được phát hiện bởi các nhà nghiên cứu bảo mật từ công ty Eset được đặt tên “Mumblehard” – (Muttering spam from your servers). Các nhà nghiên cứu đã ghi nhận 8,500 địa chỉ IP trong 7 tháng nghiên cứu cuộc tấn công của Mumblehard và 3,000 thiết bị mới tham gia trong vòng 3 tuần.
Mã độc Mumblehard có hai tính năng
- Backdoor
- Spamming Daemon
Cả hai đều được lập trình bằng Perl và được đóng gói bằng ngôn ngữ Assembly. Backdoor cho phép tin tặc lây nhiễm vào hệ thống và máy chủ điều khiển C&C, Spamming Daemon là một qua trình tập trung gửi hàng loạt email rác từ máy chủ bị nhiễm độc.
Chiến dịch Mumblehard đã hoạt động trong suốt 5 năm qua và cũng có thể lâu hơn thế mà không bị phát hiện. “Malware nhắm đến Linux và máy chủ [OpenBSD] và ngày càng phức tạp hơn”
Mumblehard Linux malware thật ra đã khai thác lỗ hổng trên hệ thống quản trị nội dung WordPress và Joomla nhằm lây nhiễm vào máy chủ. Thêm vào đó Mumblehard cũng phát tán trong bản cài đặt phần mềm lậu có tên DirectMailer trên Linux và BSD, phần mềm được phát triển bởi Yellsoft, được sử dụng để gửi email và bán với giá 240$ thông qua một công ty Nga. Khi người dùng cài đặt phiên bản lậu phần mềm DirectMailer, Mumblehard tạo ra một backdoor để vào máy chủ người dùng và cho phép tin tặc gửi thư rác.
Các ngăn chặn malware
Quản trị viên máy chủ web nên kiểm tra lại máy chủ của mình có bị lây nhiễm Mumblehard hay không bằng cách loại bỏ những cổng vào không mong muốn trên máy chủ. Backdoor thường nằm tại /var/tmp hoặc thư mục /tmp. Bạn có thể vô hiệu hóa backdoor bằng cách cài đặt thư mục tmp với tùy chọn noexec.
THN