En Security By Default han expuesto un caso de lo más curioso en el que, efectivamente, se muestra un ejemplo de malware para Linux. En su análisis el autor detalla los pormenores técnicos del hallazgo, que a grandes rasgos tiene como protagonista a Kaiten, un bot para IRC reconvertido en puerta trasera tanto para Linux como para OS X.
Según se cuenta, una simple petición basta para desencadenar una serie de acciones que dejarán a la máquina expuesta, normalmente, con el fin de extenderse a otras máquinas y hacer las veces de peón en ataques de denegación de servicio, aunque con la posibilidad de ir más allá, permitiendo el lanzamiento aleatorio de comandos en el sistema.
Citando a la publicación original:
Por tanto, podemos decir que Kaiten sigue el patrón de funcionamiento de cualquier malware:
- Compromete el sistema, en este caso backdooriza la máquina Linux (para la que no hay malware, claro está ;D), borra sus huellas y trazas (incluso elimina el fichero /var/log/messages y modifica parámetros de syslog para que no registre eventos)
- Busca forma de mantener persistencia al arranque o borrado, insertando una tarea programada en el cron del sistema,
- Intenta propagarse a sí mismo con un comportamiento de gusano, buscando servidores vulnerables a través de internet.
«Y todo este tinglado, con una simple petición desde vaya usted a saber qué parte del mundo, hace que tu inocente servidor web, por estar mal configurado y securizado, pueda llegar a tener vida propia«, concluye su autor. Porque, eso sí, habla de servidores mal configurados.
[Imagen: Shutterstock]
