セキュリティ情報

Linuxサーバを攻撃するトロイの木馬「Linux.Sshdkit」への注意喚起

Doctor Web Pacificは2月27日、Linux Webサーバへの攻撃数の増加を受け、独自の調査を行った結果、「Linux.Sshdkit」と呼ばれるトロイの木馬が、Linuxサーバ上のパスワードを盗む手段として用いられていることが明らかになったと発表された。

このマルウェアは、32bit、64bitどちらのLinuxディストリビューションにも感染するライブラリファイル。拡散方法については未だ明らかになっていないが、感染すると自身のコードをsshdプロセスに挿入し、このプロセスの認証ルーチンを使用する。セッションが開始され、ユーザがログインとパスワードを入力すると、それらがトロイの木馬によってUDPプロトコル経由でリモートサーバへ送信する。この手口により、Linuxサーバ上のアカウント情報を盗み出すという。

なお、システム内で/lib/libkeyutils*の、20~35KBのファイルが見つかった場合、感染の疑いがあるという。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

このエントリーをはてなブックマークに追加