Tags:
Node Thumbnail

มีรายงานจากผู้ดูแลระบบที่ใช้ Debian Squeeze และ niginx 1.2.3 พบผู้ใช้เว็บของตัวเองรายงานว่าเว็บมีการ redirect ไปยังเว็บมัลแวร์ในบางครั้ง โดยเมื่อตรวจสอบซ้ำก็พบว่ามีการแทรก iframe ของเว็บมัลแวร์เข้าไปใน HTTP Reply จริง

เมื่อผู้ดูแลระบบคนนี้เข้าตรวจสอบ nginx ของตัวเองด้วยคำสั่ง strace กลับไม่พบว่า nginx พยายามส่งข้อมูลออกไปยังเน็ตเวิร์คที่พยายามเขียน iframe ดังกล่าวแต่อย่างใด จึงเข้าตรวจสอบ kernel แล้วจึงพบว่ามี rootkit ในเคอร์เนลเรียกฟังก์ชั่น write_startup_c และ get_http_inj_fr ที่ถูกฝังเข้ามา จากการวิเคราะห์พบว่า rootkit นี้ยังอยู่ระหว่างการพัฒนา มันมีขนาดถึง 500KB แต่ส่วนใหญ่เป็นข้อมูลดีบัก

ยังไม่ชัดเจนว่าแฮกเกอร์สามารถบุกรุกเครื่องเข้าไปติดตั้ง rootkit ที่ว่านี้ตั้งแต่ทีแรกได้อย่างไร

ที่มา - The Register, SecList, CrowdStrike

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 23 November 2012 - 06:11 #510191
hisoft's picture

เอ ทำไมตัวนี้ถึงเป็น rootkit ล่ะครับ?

By: hereblur on 23 November 2012 - 08:54 #510216 Reply to:510191

น่าจะเป็นเพราะมันโหลดและฝังตังในเคอร์เนลเลย ซึ่งมันคล้ายๆ และร้ายแรงพอๆกับโดนรูทคิต
ถึงแม้หน้าที่ของมันทำแค่ฝัง iframe ในแพคเก็ต http ก็ตาม

By: i3i4i5
ContributoriPhoneWindows
on 23 November 2012 - 06:41 #510194
i3i4i5's picture

niginx > nginx