Linux“瘟疫”后门肆虐：无痕窃取隐私数据、持久掌控 SSH 访问权限

a20584

IT之家 8 月 5 日消息，安全公司 Nextron Research 于 8 月 1 日发布博文，报告称使用 YARA 规则，在 Linux 系统中意外发现了一种此前未被记录的 PAM 基础后门，随后将其命名为“瘟疫”（Plague）。

IT之家注：PAM 的全称为 Pluggable Authentication Module，是一种支持程序通过配置模块认证用户的编程接口，广泛应用于多种操作系统。

Plague 作为一种恶意的 PAM 模块，可以在不被用户察觉的情况下，让攻击者绕过系统认证，窃取敏感隐私数据，并掌控 SSH 的持久访问权。这种后门伪装成常见的系统库，在 VirusTotal 上不会被任何一款防病毒程序识别为恶意软件。







Plague 采用了多种混淆技术（如 XOR、KSA / PRGA、DRBG）、反调试方法和隐藏会话的手段，且在系统更新后仍然存在，不会留下任何日志。

研究人员使用 Unicorn + IDA 创建了一个定制的解密工具，发现这种 PAM 后门自成立以来，在一年多的时间里，在不同环境中编译出了多个样本，显示出未知网络攻击集团的持续发展和适应。

Plague 能够深度集成到认证堆栈中，即使系统更新也不会被消除，几乎不留下任何证据，结合多层次的混淆和环境影响，这种后门非常难以被传统工具发现。

来源：https://www.ithome.com/0/873/073.htm

xndd

什么系统有这个问题，怎么解决

ppt1845

xndd 发表于 2025-8-6 08:55
什么系统有这个问题，怎么解决

Linux 系统

xndd

ppt1845 发表于 2025-8-11 20:05
Linux 系统

好吧，我的意思是，debian还是Ubuntu，内核版本是6.1还是6.12

ppt1845

xndd 发表于 2025-8-12 08:56
好吧，我的意思是，debian还是Ubuntu，内核版本是6.1还是6.12

都有涉及到。

cfdiyr

对我一点影响没有，因为没有Linux 系统