Linux jako platforma z powodu swojego szerokiego użycia do obsługi stron internetowych, serwerowni oraz dostarczania treści w Internecie cieszy się nie słabnącą popularnością użytkowników komputerów. Linux sprawdza się również jako system w administracji państwowej, uczelni, etc. Wiele krajów europejskich używa właśnie tego systemu w swoich komputerach, ponieważ jest uważany jako system bezpieczny i stabilny. Jego popularność sprawia, że staje się coraz częstszym celem ataków cyberprzestępców.

Badacze Sophos notują o wiele mniej dedykowanych zagrożeń malware na Linuxa, w porównaniu do Windowsa czy Androida, jednak cały czas obserwowany jest stały przypływ aplikacji i skryptów, mających za zadanie przełamanie zabezpieczeń. Ponadto odnotowywane są przypadki ataków na usługi zaprojektowanych jako niezależne od platformy na jakiej pracują, przez co często spotyka się je na serwerach systemu Linux.

Przekierowanie ruchu internetowego do zainfekowanych stron

Z wielu powodów serwery obsługiwane przez Linuxa stają się oczywistym celem przestępców, którzy planują przekierowanie ruchu internetowego do swoich celów. Po pierwsze, Linux jest zasadniczym systemem operacyjnym obsługującym spory procent działających i Internecie serwerów, wliczając w to wiele z najistotniejszych, najbardziej rozpowszechnionych i cały czas dostępnych usług. Po drugie, serwery Linuxowe powszechnie uznawane są za bezpieczniejsze od innych, przez co często pomijane jako cele ataków. Oznacza to tyle, że system może pozostać zainfekowany przez długie miesiące lub lata zapewniając spore przychody organizacjom przestępczym.

W rezultacie badania Sophos, że znacząca większość zainfekowanych serwerów, przekazujących ruch internetowy do zainfekowanych stron, to serwery Linuxowe. Zatem, mimo mniejszej ilości malware atakującego system Linux, administratorzy tych systemów powinni brać pod uwagę realność zagrożenia.
Obecnie potrafimy zidentyfikować dziesiątki tysięcy przykładów podejrzanego kodu PHP (język skryptowy wykonany po stronie serwera, szeroko używany na stronach internetowych), który działa na serwerach Linuxowych każdego miesiąca – nawet pomimo umiejętności autorów malware do zaciemniania swojego kodu w celu uniemożliwienia wykrycia, w skrajnych przypadkach ukrywając go nawet pod 50 warstwami.

Złośliwe skrypty PHP

Obserwujemy sporą, ilość złośliwych skryptów PHP sprawiających, że system Linux działa jak węzeł w większych systemach przekierowujących ruch internetowy, posiadających sporo funkcji tradycyjnych botnetów. Umożliwia to wykonywanie nikczemnych ataków takich DDoS.
Złośliwe skrypty często działają na źle zabezpieczonych wersjach WordPressa. Dla przykładu w 2013 został znaleziony exploit w kodzie PHP panelu Plesk. Przez specyficzne komendy można było potencjalnie uzyskać dostęp do kodu i uruchomić dowolny skrypt PHP.

Oczywiście im więcej działających na serwerze aplikacji i usług, tym więcej potencjalnych punktów ataku, co sprawia, że coraz bardziej istotne staje się prawidłowe utrzymywanie bezpieczeństwa zarówno samego systemu Linux, jak i aplikacji, które na nim pracują.

Często na tradycyjnych Linuxowych serwerach plików można znaleźć malware wymierzone w Windows i inne systemy operacyjne. Zatem nawet jeśli serwer Linuxowy nie jest bezpośrednio zainfekowany, w dalszym ciągu stanowi zagrożenie dla innych urządzeń, które pobierają z niego pliki.

W 2013 po raz pierwszy zaczęto wykrywać znajdujące się na serwerach Linuxowych spore ilości malware dedykowane na Androida. Oczywistym jest, że jeśli serwer Linuxowy jest zainfekowany malwarem, to z technicznego punktu widzenia prostym jest dla danego złośliwego oprogramowania wykrywanie żądań http pochodzących z systemu Android i dostarczenie złośliwego oprogramowania. Jeśli serwer dostarcza usług dla innych systemów powinien być zabezpieczony funkcjami przeciwdziałającymi malware.

źródło: Sophos

Kan