Administratorzy wielu serwerów linuksowych zauważyli niedawno obecność nowego pliku w katalogu /lib64 – libkeyutils.so.1.9. Według ich obserwacji kod, zawarty w tym pliku jest zdolny do rozsyłania spamu, zbierania i przesyłania loginów i skrótów haseł oraz pełni funkcję backdoora, umożliwiając zalogowanie się do komputera z uprawnieniami roota.

Sądząc po lokalizacji pliku do jego umieszczenia niezbędne jest posiadanie uprawnień użytkownika uprzywilejowanego. Aktualnie nie jest znany jeszcze sposób, w jaki plik zostaje umieszczony na serwerach. Jedną z hipotez jest wykorzystanie luki CVE-2012-5671 w serwerze Exim. Użytkownicy sugerują, że powyższe problemy pojawiały się na następujących dystrybucjach: Centos 5.x, 6.x, Cloudlinux 5.x, 6.x.

Ponadto serwis Niebezpiecznik.pl podaje, że do zakażenia złośliwym kodem może dojść na serwerach, wyposażonych w panele administracji CPanel, DirectAdmin oraz Plesk.

Na portalu WebHosting Talk trwa ożywiona dyskusja na temat wykrytego zagrożenia. Ponadto stworzono specjalną stronę, na której publikowane są podsumowania dotychczasowych ustaleń.