
Un rootkit inconnu infecte des serveurs web sous Linux et injecte du code malveillant sur des pages web servies par des serveurs infectés. Le rootkit a été découvert par un utilisateur de la mailing list Full Disclosure, qui a posté ses observations, y compris le module du noyau suspect. Le malware ajoute une iframe pour chaque page web servie par le système infecté via le proxy nginx (y compris les pages d'erreur).
Toute personne qui visite une page web sur le serveur est alors attaquée par une page web spécialement conçue qui est chargée dans une iframe. Les pirates utilisent généralement des exploit kits comme BlackHole pour examiner le système de la victime et y trouver d'éventuels failles dans Falsh, Java ou d'autres applications. Une fois une faille exploitable, il est utilisé pour installer des malwares sur le système de la victime.
Kaspersky a analysé le malware et selon eux, le rootkit, qui a été surnommé Rootkit.Linux.Snakso.a, est prévu pour cibler les systèmes 64-bit et a été compilé pour la version du noyau 2.6.32-5 utilisé dans Debian Squeeze. Le rootkit ajoute la ligne suivante dans le script /etc/rc.local :
insmod /lib/modules/2.6.32 5-amd64/kernel/sound/module_init.ko
Tout cela pour s'assurer que le module est chargé à chaque reboot du système.
Après avoir démarré, il détermine l'adresse mémoire d'un certain nombre de fonctions du noyau et ensuite il les hook. Ceci permet à la fois de se cacher de l'utilisateur mais aussi de manipuler le trafic réseau. Selon Kaspersky, le rootkit peut être en cours de développement car il contient des informations de debug.
L'expert en sécurité Georg Wicherski a également analysé le rootkit et suggère qu'il a été développé par un débutant qui n'a pas encore beaucoup de connaissances avec le noyau. Selon lui, le pirate qui a déployé le rootkit est probablement basé en Russie.