• Suscríbete al Feed Espacio Linux
  • Suscríbete al Feed por Email
  • Sigue a Espacio Linux en Identi.ca
  • Espacio Linux también en Facebook
  • Sigue a Espacio Linux en Twitter
  • Sigue a Espacio Linux en Google +
          Iniciar sesión | Registrarse

Operación Windingo: 25000 Servidores Unix infectados

El Laboratorio de Investigación de ESET, en colaboración con CERT-Bund (Swedish National Infrastructure for Computing) y otros organismos, afirman haber puesto al descubierto una campaña cibercriminal que tomó el control de más de 25.000 servidores Linux y Unix en todo el mundo infectando a más de 500.000 equipos.

La operación Windingo puede estarse desarrollando desde hace aproximadamente 2 años y se cree que distribuye 35 millones de mensajes spam diarios. Además se cree que otro objetivo de Windingo son usuarios del Sistema Operativo Windows que visitan páginas legítimas de servidores infectados.

Es necesario que los administradores de sistemas verifiquen la existencia del rookit conocido como Ebury SSH.

Ebury is a SSH rootkit/backdoor trojan for Linux and Unix-style operating systems (like FreeBSD or Solaris). It is installed by attackers on root-level compromised hosts by either replacing SSH related binaries (ssh, sshd, ssh-add, etc.) or a shared library used by SSH (libkeyutils).

Fuente: https://www.cert-bund.de/ebury-faq

CERT-Bund informa que Ebury provee un backdoor para que los atacantes puedan acceder de manera remota a los servidores infectados.

“El backdoor Ebury, desplegado por la operación Windigo, no explota una vulnerabilidad en Linux o OpenSSH, En su lugar, se instala manualmente por un atacante malicioso. El hecho de que se las hayan arreglado para hacer esto en decenas de miles de servidores diferentes, es impactante. Aunque las soluciones antivirus y la doble autenticación es común en las computadoras de escritorio, rara vez se utiliza para proteger servidores, haciéndolos vulnerables a robo de credenciales y a propagar malware fácilmente” dijo el investigador de seguridad ESET Marc-Étienne Léveillé.

Fuentes:

http://www.analitica.com/tecnologia/8027632.asp

http://www.thewhir.com/web-hosting-news/linux-malware-operation-windigo-infects-25000-web-servers

https://www.cert-bund.de/ebury-faq

http://bitacoranoticias.com/operacion-windigo-malware-utilizado-para-atacar-mas-de-500-000-computadoras/


Temas:
Actualidad, Informática, Redes y servidores, Temas diversos


Etiquetas:

Feed Espacio LinuxSi este artículo ha sido de tu interés, considera hacer un comentario o suscribirte al feed para que te enteres de nuevos artículos a través de tu lector de noticias o email.

Acerca del autor

9 Comentarios para “Operación Windingo: 25000 Servidores Unix infectados”

  1. Esto quiere decir que deberíamos instalarnos un antivirus es linux??

  2. A mí me parece un poco tirado de los pelos todo esto. Si no he entendido mal, la infección se realiza a mano primeramente en el servidor, por un robo de credenciales, y después de ahí pasaría a los clientes. Es que en este caso, una vez hecho root, lo mínimo que te puede pasar es que acabe mandando spam el server.

    Me sabe a poco lo que explican en la página de cert-bund pero según parece sustituiría alguna librería y/o binarios de ssh. ¿Es trazable en los logs el backdoor?, si es así para cualquier administrador mínimamente competente debería hacer sonarle todas las alarmas si su server se ha convertido en una máquina de spam. Vamos, que primero le tienen que robar sus credenciales y después debe ser un poco incompetente. Podría ser, no digo que no, porque el mundo es amplio o quizás haya más que lo que he entendido, pero no creo que servidores importantes hayan sido víctima de esta historia, no sé, me cuesta creer esas cifras.

    gracias por el artículo, maiku

  3. […] asunto feo que se comenta en los últimos días es la Operación Windingo: Se destapó la semana pasada, pero el eco persiste. Nada más y nada menos que 500.000 equipos […]

  4. […] asunto feo que se comenta en los últimos días es la Operación Windingo: Se destapó la semana pasada, pero el eco persiste. Nada más y nada menos que 500.000 equipos […]

  5. […] Operación Windingo: 25000 Servidores Unix infectados […]

  6. […] asunto feo que se comenta en los últimos días es la Operación Windingo: Se destapó la semana pasada, pero el eco persiste. Nada más y nada menos que 500.000 equipos […]

  7. Porfavor ayuda::
    llevo todo el dia mirando como hacer un tema, quiero preguntar una cosa, pero nose como hacrlo, y nose a quien decirselo, por eso escribo aqui, almenos alguien lo leera, espero 🙂

  8. mmmm, a ver si lei bien tantas palabras para decir que es necesario “que alguien” instale el susodicho Ebury, para hacerse el control de las maquinas por medio de un backdor, o sea hubo alguien hackeando equipos, y recién ahora los “admines” de esos servidores se dieron cuenta.-
    O sea algo que es bien sabido que puede suceder, no es algo automatico como un virus.-

    Que raro eset una empresa que se dedica a “antivirus”

  9. jajaja uuuuy correre rapido a comprar mi antivirus de eset para linux, gracias a dios que ellos existen que bueno que declaran esto de 500,000 equipos infectados estoy aterrado. mejor instalare windows y asi compro mas productos de eset verdad.
    gracias ESET y gracias Windows JAJAJAAJAJA

Publica un comentario

Puedes usar estas etiquetas XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <code> <em> <strong>