Компания Finjan (http://finjan.com/) опубликовала пресс-релиз (http://www.finjan.com/Pressrelease.aspx?PressLan=1819&id=1820), из которого следует, что она обнаружила новый вид сетевой инфекции, из-за которой уже пострадало более 10 тыс. сайтов. Заражению подвержены только компьютеры под управлением Linux с установленным HTTP-сервером Apache. Марк Кокс из команды безопасности Apache заявил, что не имеет никаких доказательств того, что инфекция эксплуатирует незакрытую уязвимость в Apache. Команда безопасности RedHat тоже заявила, что не может прокомментировать происходящее, т.к. на данный момент еще не получила доступ к инфицированным машинам. Компания cPanel опубликовала предупреждение (http://www.cpanel.net/security/notes/random_js_toolkit.html), в котором описано поведение инфекции после заражения системы ( установка rootkit и замена ряда исполняемых файлов, динамически создающие JavaScript вставки вклинивающиеся в трафик сайтов).
В качестве одного из способов обнаружения паразитной активности, предлагается использовать tcpdump:
tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'").
Инфекцию назвали Random JS Toolkit и пока не найден способ ее удаления, кроме повторной установки ОС и замены паролей.
URL: http://www.linux.com/feature/125548
Новость: http://www.opennet.ru/opennews/art.shtml?num=13845
