Новый 64-битный руткит под Linux делает инъекции фреймов в HTTP-трафик

Один из подписчиков списка рассылки SecLists прислал описание нового руткита, который работает под 64-битной ОС Linux и использует Nginx. Вредоносную программу пользователь обнаружил на своём сервере Debian Squeeze, веб-сервер Nginx 1.2.3. Вредоносной программе присвоено название Rootkit.Linux.Snakso.a.

Обнаружить руткит удалось после того, как некоторые посетители сайта пожаловались, что им отгружается странный iframe с редиректом на вредоносную страницу. Каким-то образом хакеру удалось внедрить код на страницы сайта. Расследование показало, что Nginx возвращает клиенту ответ с вредоносным фреймом даже в случае неверного запроса. Покопавшись в системе, админы обнаружили на сервере руткит и несколько скрытых процессов с именами вроде write_startup_c и get_http_inj_fr.

Антивирусные эксперты уже проанализировали код и выяснили, что руткит специально создан для версии ядра 2.6.32-5-amd64, бинарный файл размером более 500 Кб содержит неудалённую служебную информацию от разработчиков, некоторые запланированные функции руткита не реализованы или работают с ошибками. Эксперты объясняют, что внедрение фреймов происходит путём подмены системной функции tcp_sendmsg, то есть внедрение в HTTP-трафик осуществляется путём непосредственной модификации исходящих TCP-пакетов на сервере Linux.

Сам руткит: lib+modules+2.6.32-5-amd64+kernel+sound+module_init.lo
Технические подробности