ウイルス対策ソフトウェア会社Esetの研究者は、Operation Windigo (PDF)と名付けられた現在進行中のマルウェア攻撃を公表しました。この攻撃は、10,000台以上のLinuxおよびUnixサーバーに感染し、大量のスパム送信や悪意のあるWebページへのリダイレクトに使用されています。
Windigoは少なくとも2011年から活動しており、Linux Foundationのkernel.orgやcPanel Webのサーバーを含むシステムを侵害していました。3年間にわたり、Windigoは25,000台以上のサーバーに感染し、1日あたり3,500万件のスパムメッセージを送信し、Windowsの訪問者にこっそりダウンロード攻撃を仕掛け、ユーザーにポルノサービスのバナー広告を表示しました。中でも注目すべきは、Linux Foundationがまだ完全な報告書を提出していないkernel.orgへの攻撃です。
Esetの報告によると、kernel.orgサーバーはOpenSSHバックドアの可能性があるマルウェアLinux/Eburyに感染しており、感染したサーバー上でルートアクセスを提供し、SSH認証情報を盗むために使用することができます。Linux/Eburyに加えて、Windigoの他の悪意のあるコンポーネントには、悪意のあるWebページに訪問者をリダイレクトするために使用されるHTTPバックドアであるLinux/Cdorked、感染したマシンがスパムを送信することを可能にするrlスクリプトである/otが含まれています。研究者は、サーバーへのログインは2段階認証を有効にすることを推奨しています。
