Vía Slashdot me entero que hay un malware que está infectando servidores Apache/Linux.

De acuerdo a un artículo en ServerTune.com, el exploit involucra a un rootkit instalado en el servidor comprometido que reemplaza varios binarios del sistema con versiones infectadas. Cuando el sistema inicia, los binarios infectados se ejecutan dando como resultado la creación dinámica de código JavaScript que es servido intermitentemente y de forma aleatoria a los visitantes de los sitios alojados en estos servidores.

El JavaScript malicioso intenta explotar vulnerabilidades en Windows, QuickTime y Yahoo! Messenger de la máquina del visitante, en un intento de infectarlo.

cPanel, una popular herramienta de administración usada por las compañias de hosting que permite a sus clientes el manejar los sitios alojados, ha posteado una nota de seguridad describiendo lo que el rootkit hace luego de haber sido instalado, y sugiere dos formas de detectarlo.

De acuerdo con cPanel, si el usuario intenta crear un directorio intentando darle un nombre que empiece con un símbolo numeral (#) y no puede hacerlo, entonces el servidor se encuentra infectado. Otro test es monitorear los paquetes del server con el siguiente comando tcpdump:

tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"

La gran duda con esto es saber como se infectan los servidores. La ausencia de evidencia forensica de intrusiones, hacen pensar que los agresores ganan acceso a los servidores de las víctimas mediante claves de root robadas. Las últimas víctimas conocidas, de acuerdo a los investigadores de esta nota de ComputerWorld, han sido servidores que corren en las grandes compañias de hosting, los cuales al ser comprometidos, le brindaban al atacante el acceso a cientos e incluso miles de sitios web.

mas información en: Linux.com