Исследователи Flare.io описали новый бэкдор PamDOORa для Linux-серверов. Он встраивается в механизм PAM, перехватывает SSH-пароли законных пользователей и помогает злоумышленнику сохранить доступ к уже взломанной системе.
Речь не о массовой атаке на домашних пользователей. Главный риск — для компаний, администраторов и владельцев серверов, где один скомпрометированный узел может открыть путь к другим системам.
Что нашли исследователи
PamDOORa продают на русскоязычном киберпреступном форуме Rehub. По данным Flare.io, продавец под ником «darkworm» сначала просил за инструмент $1,600: объявление появилось 17 марта 2026 года. К 9 апреля цена снизилась почти вдвое — до $900.
Бэкдор рассчитан на Linux-системы x86_64 и работает как Pluggable Authentication Module, или PAM (подключаемый модуль аутентификации). PAM отвечает за то, как Linux проверяет пользователя при входе: через пароль, ключ, биометрию или другой механизм, если его подключил администратор.
Исследователь Flare.io Ассаф Мораг описывает PamDOORa как инструмент для закрепления после взлома. Иными словами, злоумышленник сначала должен получить высокие права на сервере другим способом, а затем поставить вредоносный модуль, чтобы возвращаться на машину через SSH.
Почему PAM опасен при компрометации
PAM удобен для администраторов: приложения не нужно переписывать каждый раз, когда компания меняет способ входа. Достаточно подключить нужный модуль. Но у этой гибкости есть обратная сторона.
PAM-модули часто работают с root-привилегиями. Если в цепочке аутентификации появляется вредоносный компонент, он видит чувствительные данные в момент проверки пользователя. В случае PamDOORa речь идёт о перехвате учётных данных тех, кто входит на сервер законным способом.
Group-IB ещё в сентябре 2024 года предупреждала, что манипуляции с PAM могут привести к скрытому доступу и краже паролей. Особенно опасны сценарии, где администратор не отслеживает изменения в конфигурации SSH и доверяет серверу только потому, что внешне он работает штатно.
Как PamDOORa удерживает доступ
По данным исследователей, PamDOORa использует комбинацию специального пароля и сетевого условия, связанного с TCP-портом. Это позволяет атакующему пройти аутентификацию через OpenSSH даже без обычной учётной записи, если вредоносный модуль уже стоит в системе.
Вторая задача бэкдора — сбор паролей. Когда законный пользователь входит на сервер, модуль может перехватить введённые данные. Так один взломанный сервер превращается в точку сбора доступов: администраторы нередко используют похожие пароли или имеют доступ сразу к нескольким узлам.
Третья часть — антифорензика, то есть сокрытие следов после взлома. Flare.io пишет, что PamDOORa умеет изменять журналы аутентификации, чтобы убрать признаки вредной активности. Для защитников это неприятный сценарий: стандартная проверка логов может не показать всей картины.
Похожий тренд виден и в других атаках на Linux-инфраструктуру. Мы уже разбирали, как Quasar Linux RAT крадёт ключи разработчиков в Linux: злоумышленники всё чаще охотятся не за одним сервером, а за цепочками доступа внутри компании.
Есть ли реальные атаки
Публичных подтверждений, что PamDOORa уже применяли в реальных инцидентах, исследователи не приводят. Это важно: пока речь идёт о вредоносном инструменте, который продают и описывают на подпольном рынке, а не о доказанной кампании против конкретных компаний.
Но сам класс угрозы зрелый. Вредоносные PAM-модули не новость, а за последний год исследователи уже находили похожий Linux-бэкдор Plague. Flare.io сравнила PamDOORa с рядом известных инструментов и пришла к выводу, что у него есть отличия в архитектуре: это не простая копия публичного скрипта, а более собранный набор для оператора атаки.
Снижение цены тоже говорит о движении на рынке. Продавец мог не найти покупателей или захотел быстрее продать инструмент. Для защитников вывод один: если такой код появляется в продаже, его рано или поздно могут проверить на реальных целях.
Что это меняет для бизнеса
Главная ошибка — считать Linux-сервер безопасным только из-за аккуратных паролей и закрытого доступа к панели управления. PamDOORa показывает другой риск: если атакующий уже получил root-доступ, он может встроиться в сам процесс входа и собирать пароли тех, кто приходит на сервер после него.
Поэтому защита должна включать не только смену паролей, но и контроль целостности системных компонентов. Администраторы должны видеть, когда меняются файлы PAM, конфигурация OpenSSH и системные библиотеки. Без такого контроля бэкдор может пережить перезагрузки и долго оставаться незаметным.
Важны и обновления серверного ПО. Уязвимости в панелях администрирования часто становятся первой ступенью атаки: пример — недавние исправления, о которых мы писали в материале cPanel и WHM закрыли три уязвимости: кому нужно обновиться.
Отдельный риск — работа администраторов из чужих сетей: гостиниц, коворкингов, аэропортов. В таких случаях помогает сервис безопасного интернет-соединения: он шифрует трафик и снижает риск перехвата данных в публичной сети.
Практический вывод: что проверить сейчас
- Проверьте изменения в конфигурации PAM, особенно файлы, связанные с SSH-аутентификацией.
- Сверьте системные PAM-модули с эталонными пакетами из доверенных репозиториев.
- Ищите неизвестные
.so-файлы в каталогах модулей аутентификации и отправляйте их на анализ специалистам. - Включите контроль целостности критичных файлов Linux и настройте тревоги на любые изменения.
- Храните логи аутентификации не только на сервере, но и на отдельной системе сбора журналов.
- Переведите SSH-доступ администраторов на ключи и добавьте многофакторную аутентификацию там, где это поддерживает инфраструктура.
- Если есть признаки взлома, меняйте не только пароли на одном сервере, но и все связанные доступы: ключи, токены, учётные записи администраторов.
- Ограничьте административный вход по сети: доступ к SSH должен быть нужен не всем, а только конкретным адресам и ролям.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.