вторник, 15 сентября 2009 г.

Появился ботнет, состоящий из веб-серверов под управлением Linux

Как сообщает ресурс The Register, специалист по вопросам компьютерной безопасности обнаружил кластер инфицированных серверов под управлением операционных систем Linux, объединенных в ботнет, который распространяет вредоносное ПО. Отметим, ранее были зафиксированы ботнеты для платформы Mac, мобильных телефонов и роутеров.

Каждый инфицированный компьютер является выделенным или виртуальным сервером, обслуживающим обычные легитимные сайты. Но в дополнение к основной задаче (веб-сервер Apache) они также были взломаны злоумышленниками и настроены на обслуживание второго веб-сервера nginx, который и распространяет вредоносное ПО. Сервера обслуживают легитимный трафик через порт 80 - стандартный порт TCP, используемый сайтами. Для нужд злоумышленников используется порт 8080, через который передается информация о DNS свободных доменных имен, которые привязываются к IP адресу зараженного компьютера. Далее в обычные сайты скрыто внедряется участок кода, который без ведома посетителя сайта обращается к зараженному серверу и способствует распространению вредоносного ПО.

По словам Дениса Синегубко, независимого ИТ-специалиста обнаружившего ботнет, имеется в наличии большая группа связанных зараженных веб-серверов (зомби), которые управляются общим контрольным центром. Кроме того, данный ботнет связан с другим ботнетом, который включает в себя зараженные домашние компьютеры.

На данный момент пока точно неизвестно, как произошло первичное заражение веб-серверов. Делается предположение, что все они обслуживались невнимательными администраторами, которые каким-то образом дали доступ злоумышленникам к своим root паролям. Для внедрения кода iframe в веб-страницы злоумышленники также должны были получить доступ к FTP паролям пользователей.
В настоящее время зафиксировано около 100 зараженных серверов, которые управляются различными версиями Linux и обслуживают веб-сервер Apache. Такой незначительный по масштабам ботнет пока не дает возможности точно определить намерения злоумышленников. В связи с этим существует два предположения:

1. Злоумышленники лишь протестировали возможность осуществления такой атаки на разные веб-сервера с целью убедиться в работоспособности системы;
2. На данный момент задействованы еще не все зараженные компьютеры, и злоумышленники выжидают определенного момента для начала крупномасштабной атаки.

После обращения Дениса Синегубко к провайдерам DynDNS.com и No-IP.com, которые используются злоумышленниками для подбора свободных доменных имен, они оперативно отреагировали на предупреждение и закрыли указанные домены. Но Синегубко продолжает фиксировать по два новых IP адреса, используемых хакерами, ежечасно, таким образом, следует ожидать дальнейшего расширения ботнета, что подтверждает справедливость второй гипотезы.

Вы романтик? Или желаете блеснуть перед дамой? Почитайте cтихи про вечер, и возможно это вам пригодиться.

Комментариев нет: