Fokirtor: любопытный линуксовый троян
Любопытность его в том, что он не запускается отдельным процессом и не слушает на специальных портах, а встраивается в sshd и другие серверные процессы, что сильно затрудняет его обнаружение и сильно облегчает общение с центром управления, поскольку доступ к 22 порту открыт на очень многих машинах.
А команды он получает путём прослушивания ssh-трафика, выбирая их оттуда по сигнатуре :!;.
Команды, естественно, шифрованные, поэтому типичные IDS их не видят.
Ссылки по теме:
http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol
http://www.theregister.co.uk/2013/11/15/stealthy_linux_backdoor/
http://np.reddit.com/r/programming/comments/1qoj11/new_linux_trojan_fokirtor_cunningly_hides/
via Bruce Schneier
А команды он получает путём прослушивания ssh-трафика, выбирая их оттуда по сигнатуре :!;.
Команды, естественно, шифрованные, поэтому типичные IDS их не видят.
Ссылки по теме:
http://www.symantec.com/connect/blogs/linux-back-door-uses-covert-communication-protocol
http://www.theregister.co.uk/2013/11/15/stealthy_linux_backdoor/
http://np.reddit.com/r/programming/comments/1qoj11/new_linux_trojan_fokirtor_cunningly_hides/
via Bruce Schneier