Bezpečnostní výskumníci slovenskej spoločnosti Eset, spolu s nemeckými CERT-Bund a švédskymi SNIC výskumníkmi, objavili rozsiahlu sieť napadnutých serverov. Podľa odhadov ich môže byť až 25 000, pričom útočníci pokračujú ďalej.
Prvé stopy sa pritom objavili už v minulosti. Operácia Windigo (v jazyku kmeňa Algonikov je to mýtická bytosť s kanibalistickými sklonmi) beží už približne dva a pol roka. Útočníci napadali unixové serveri a nevyužívali pritom žiadnu dieru v Linuxe. Zadné vrátka nainštalovali sami.
Prvýkrát sa Linux/Cdorked objavil už minulý rok. Prvú kópiu malvéru získali pracovníci Esetu od skupiny bezpečnostných výskumníkov. Neskôr po preskúmaní Linux/Eburi si všimli podobnosti v kóde a začali sa na ne zameriavať. Odhalenie prišlo až nedávno.
Útočníci inštalovali zadné dvierka do serverov tak, že ukradli prihlasovacie údaje, a ak patrili adminstrátorskému účtu, mali väčšinou voľné ruky. Práve preto Eset odporúča dvojfaktorovú autentifikáciu aj systémovým administrátorom.
Správcovia serverov by si určite mali skontrolovať, či ich zariadenie nie je napadnuté. Dá sa to zadaním tohto príkazu:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Ak sa preukáže, že bol server infikovaný, je potrebné preinštalovať operačný systém a zmeniť všetky heslá. To síce môže byť veľmi problematické, ale vždy lepšie, ako by mal prístup k citlivým údajom niekto nepovolaný.
Možno sa pýtate, ktoré operačné systémy môžu byť napadnuté a ako sa to prejavuje. V prípade Windowsu je počítač nakazený malvérom zbierajúcim citlivé informácie, zariadenia s Androidom posielajú reklamu na zoznamovacie služby a ak ste majiteľom iOS zariadenia, posielajú vám porno stránky. 25 000 napadnutých serverov denne pošle až 35 miliónov nevyžiadaných správ.