Обнаружен ботнет из серверов на базе Linux

image

Теги: ботнет, Linux, безопасность

Независимый российский ИТ-специалист Денис Синегубко обнаружил кластер, состоящий исключительно из Linux-серверов, зараженных ранее неизвестным вредоносным кодом. Данный ботнет из Linux-серверов занимается распространением вредоносного программного обеспечения.

Независимый российский ИТ-специалист Денис Синегубко обнаружил кластер, состоящий исключительно из Linux-серверов, зараженных ранее неизвестным вредоносным кодом. Данный ботнет из Linux-серверов занимается распространением вредоносного программного обеспечения.

В свое блоге Синегубко пишет, что каждая из инфицированных машин представляет собой выделенный или виртуальный выделенный сервер, на базе которого работает легитимный веб-сайт. Однако есть у данной бот-сети и еще одна особенность - инфицируются здесь только сайты, работающие на связки Apache - Nginx, являющейся довольно популярной в Рунете.

Исследователь отмечает, что данный ботнет состоит только из серверов. Причем этот серверный ботнет может взаимодействовать с классическими ботнетами из домашних настольных ПК.

В блоге также говорится, что все инфицированные машины обслуживали 80-й порт, используемый для работы веб-сайтов, однако на заднем фоне сервер отправлял вредоносный трафик через порт 8080. Содержимое здесь доставлялось при помощи сторонних провайдеров, предлагавших бесплатную поддержку DNS-сервиса. В итоге при обращении к зараженному серверу в добавок к легитимному контенту сервер через Iframe доставлял заданный хакерами контент.

Синегубко считает, что с точки зрения злоумышленников всегда надежнее иметь как серверные, так и клиентские бот-сети. По его мнению, такие гетерогенные системы гораздо более гибкие.

Пока неизвестно, сколько именно серверов пали жертвой подобной атаки. Исследователь предполагает, что сама подобная атака стала возможной из-за невнимательности администраторов этих серверов, так как они либо установили слишком простой root-пароль на сервер, либо случайно "поделились" этим паролем с хакерами. Есть также вариант и с использованием снифферов.


или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  6  7  8  9  
hacker
13-09-2009 23:14:19
Черт! Спалили управляющие сервера моего ботнета! Пора переходить на SSL
0 |
Владелец ботнетов :)
14-09-2009 01:13:31
Линукс хостинг дешевле. Владельцы ботнетов выбирают Линукс в качестве серверной ОС
0 |
Лунупсятники
14-09-2009 08:13:20
Опять мы обдристались со своей безопасностью. Надо новое едро сконпилить мож тогда повезет.
0 |
elka
14-09-2009 08:24:32
опять линупсятники имеют ватузятникоф - разместили вирусы на сих серверах для покорения новых ботнетов
0 |
Антитролль
14-09-2009 10:24:57
Луноходы опять жидко обкакались! Давайте и дальше распространяйте свои мифы про безопасность линукс! Если раньше многие почти поверили в это, то теперь все очень очевидно.
0 |
nobody
14-09-2009 10:38:01
для вас, мелких вендусятников, стараемся - все отборные вирусяки для вашего компа
0 |
mic
14-09-2009 11:57:27
Вот вам свежий бот, брутфорсит по ssh. 203.116.18.173 Похоже там пароль не из сложных, если оно ранее так попалось.
0 |
mic
14-09-2009 11:59:04
В вдогонку, вчерашний, такой же красавчег. 211.63.6.132
0 |
nobody
14-09-2009 16:35:05
неинтересные - записей в обратной зоне нет. таких не продашь.
0 |
123
14-09-2009 14:49:24
Гы! Снова красноглазики обделались
0 |
fdddddd
16-09-2009 00:47:02
блин, ну какое отношение имеет веб ботнет к линуксу? зачем это так преподносить в новости? администрация, не путайте понятия.. тут и так аудитория большей частью не врубается... ПОЧЕМУ ВЫ НЕ ВЫВЕСИЛИ В ТОП НАИСЕРЬЕЗНЕЙШИЙ БАГ В Win2008/Vista?? [FONT=Impact] УДАЛЕННОЕ ВЫПОЛНЕНИЕ КОДА В WINDOWS ПРОСТО ПОДКЛЮЧЕННОЙ К СЕТИ, ДАЖЕ ЗА ФАЕРВОЛОМ!!!!! ГДЕ ЭТО В ТОПЕ?!!!! проданный с потрахами секлаб.
0 |
Игорек
21-09-2009 23:41:36
Щас речь идет не о винде. А о линубовой ОС. В сказки о безопаности в линпсе уже давно не верят. А вирусов и другово дерьма меньше потому-что, доминирующая ос Windows. Что поделаешь, столлман и все опенсорщики-пингвинятники опять соснули у мелкомягких.
0 |
olg
22-09-2009 18:24:44
Уважаемый. тут и так аудитория большей частью не врубается... речь шла о таких как вы кстати ) смысл в том что для веб ботнета, как правильно подмечено нет разницы под какой ОС работать. например и Windows и Linux сервера имеют интерпретатор PHP. Какая разница для ботнета в какой среде исполняться(если код ботнета написан на PHP)?? Правильно никакой. Просто на серверах линукс гораааааздо популярнее винды ждём пока и на десктопах линукс возьмёт своё.
0 |
мимо проходил
14-09-2009 12:33:36
Читать умееш? Они тупо "поделились" паролем! Вирусов нет и небудет.
0 |
Егорка узинькая норка
14-09-2009 22:23:19
Столлман мой бог. Пойду помолюсь и перекомпилю ядро... Вдруг Столлман оградит меня от этого бота. Ах блин забыл. Столлмана дрюкнули мелкомягкие... что же делать. Может еще раз перекомпилить ядро.
0 |
Чукча
14-09-2009 09:51:50
Однако, как шифрование спасет от "спаливания" ? Однако
0 |
Bаd-XхX
14-09-2009 10:56:57
Почитай про асинхронное шифрование. ***********************************
0 |
Чукча
14-09-2009 12:35:54
Однако, асинхронное шифрование прямо неведомым образом скрывает IP? Однако
0 |
Bаd-XхX
16-09-2009 12:01:35
Ну почему же. Просто не позволит перехватить трафик, мало ли, может бот вовсе не команды от сервера хочет получить, а заддосить данный IP на указанном порту. Кто-то куда-то к кому-то подрубился, обычное дело. Конечно же, здесь можно внедриться в процесс бота и "прочитать" трафик, но это уже отдельная история. В принципе, от реверс-инженеринга разве что только прокси (и т.п.) спасёт.
0 |
школьник-кирптограф со стажем
14-09-2009 12:37:53
Можете дать ссылку, где можно почитать про асинхронное шифрование? Это что-то новое в области криптографии?
0 |
инсайдер
14-09-2009 12:39:16
ходят слухи, что асинхронное шифрование связано с расщеплением оптоволокна и строянами
0 |
it-специалист
15-09-2009 09:54:14
Тссс....не пали контору, ты бы этому школтью еще про форматирование удаленного винчестера, через розетку 220 вольт рассказал.
0 |
Bаd-XхX
16-09-2009 12:03:21
Шутки шутками, а были проекты по интернету посредством ЛЭП и газовых труб.
0 |
Bаd-XхX
16-09-2009 11:50:37
Опечатался. Ассиметричное. ****************************
0 |
Линуксист
14-09-2009 20:46:19
Не травмируйте мою юношескую психику такими новостями. Вы обязаны уважать детей и ограждать их от всяческих расстройств! Мне Бог-Питух приказал считать, что на линуксе не бывает вредоносных программ, и умные админы линуксу не нужны - всё само работает, да и готовую конфигу можно попросить у однокласника. А кто не согласен - вруны, пердуны и провакаторы, продавшиеся дьяволу.
0 |
МИР ОПасностЕ!
15-09-2009 08:10:39
Чорд абырвахабырвахабырвахабырвахабырвахабырвах
0 |
я
13-09-2009 23:21:45
Опять дырявый линупс поимели... Мегабезопасный линупс попал в ботнет, как так, линупсоиды...
0 |
53915
14-09-2009 00:11:04
На этих серверах хостятся сайты виндузятников. Такие дела.
0 |
ЗЫ
14-09-2009 14:08:40
Сам понял что сказал? ........
0 |
31762
14-09-2009 14:41:28
А ты, чудилко, невдупляешь?
0 |
mODE
13-09-2009 23:22:03
Кто тут орал что линупс сверхбезопасный и вирусов под него нет?
0 |
ага
13-09-2009 23:25:33
да тут одни крики и были что винда ботнет))) мож просто линуксоиды себя лохами почувствовали и написали?)) кстати первый червь был написан RTM под Unix, так что не так все радужно и встане никсов)))
0 |
virus
14-09-2009 05:32:41
а где в статье про вирус? хотя меннингит, вроде да - вирус, бо на здоровую голову админы свои пароли не раздают.
0 |
Олег
11-05-2011 21:17:02
Червь был написан в 1988 году. Windows 3.0 появилась в 1989 году, да и была она токмо оболочкой над MS DOS. Да и сети тогда делались именно на Unix, собственно MS DOS о них и понятия не имела, TCP|IP стек приходилось ставть дополнительно. Так на чём было писАть червь-то?
0 |
95364
14-09-2009 00:09:34
А чего есть вирусы под Линукс, которые прям щас лютуют? Ссылку может дашь?
0 |
9955336644
14-09-2009 13:49:54
Не-а. Не вирусы, а злонамеренный код. Чтобы сказать про код что он вирус - надо чтобы его антивирусная программа классифицировала как вирус. А на Linux-серверах антивирусов нет. Значит и вирусов нет. Шутка. ))
0 |
13148
15-09-2009 11:30:15
А на Linux-серверах антивирусов нет. Значит и вирусов нет. это у недоадминов на Linux-серверах антивирусов нет. Linux-антивирус для файловой помойке (да и для шлюза и для web'а можно) на Linux-сервере - неплохое решение для повышения общего уровня безопасности и антивирусной защищенности. Если кругозор не ограничивать поделками дяди евгения, то у серьезных ав-компаний есть соответствующие решения.
0 |
Евгений Касперский
15-09-2009 09:58:10
Вирусы под линукс есть - это несомненный факт. Поэтому моя лаборатория рекомендует перевести весь ваш парк машин и серверов на операционную систему Виндоус, чтобы вы могли воспользоваться нашими продуктами. Наши продукты самые качественные - к этому решению мы пришли не проводя никаких исследований, не собирая статистики. То что наши продукты самые лутшие - это и так понятно, это совершенно очевидно. Покупайте антивирус касперского.
0 |
олололо
13-09-2009 23:33:37
Однако есть у данной бот-сети и еще одна особенность - инфицируются здесь только сайты, работающие на связки Apache - NginxТо есть возможно виноват Nginx?
0 |
Я
14-09-2009 00:00:19
Виноваты - как обычно - криворукие недоадмины. Нет бы сидеть на виртуальном хостинге, так нет же, берут себе целые сервера. А познаний ни разу не хватает нормально насетупить. Вот и торчат наружу из-под нжинкса и бэк-эндовый Апач, и мемкэш. И всё это от рута работает. Красотища!
0 |
четателъ
14-09-2009 05:41:19
почитай оригинал - nginx не ломали, а устанавливали для обслуживания ботнета.
0 |
22687
13-09-2009 23:36:52
Мда,я теперь понял-Линукс имеют не реже,чем Винь,только держат это в тайне,дабы создать иллюзию защищённости у пользователей этого семейства.Сидят они,гордо посматривают на юзеров Винды и думают,что они не в ботнете...Вот и дьявол тоже убедил людей,что его нет для пущей эффективности ))
0 |
xz
14-09-2009 01:43:10
Если бы Вы, уважаемые школьники разбираль хоть чуть чуть, в степени имения и глубине засовывания, то заметили бы сразу, что поимели не сам Linux а технологию, точнее связку Web-серверов, которые в свою очередь работают и под Windows. Сделано это исключительно для того чтобы хоть каким нибудь образом(способом) запустить вредоносный код, в отличии от того же Windows где его (вредоносны код aka вирус) можно запустить из sfx-архива, автозапуска usb-диска и мало того из картинки. Поклонникам Windows советую почиттать про уязвимости в iis и ошибках фильтров iss.
0 |
c
14-09-2009 01:48:22
Тупые линупсячьи отмазки, типа линупс тут непричём, мы не при делах... Увы в этот раз линупса поимели круто, так что линупсоидам надо не отмазыватся а смирится, расслабится и попытатся получить удовольствие.
0 |
14-09-2009 09:42:07
А можно ссылку?
0 |
mllm
14-09-2009 07:04:08
Для нормальных людей вирусы на флэшках и запуск из sfx это уже давно миф, автозапуск уже давно отключается, а сфх под обычным юзером бесполезен даже запусти ты вирус самомтоятельно нифига не будет, ему нужны права администратора. Согласен обход системы и получение привелегий бывает, но такие дыры обычно уже пропатчены, в линуксе эта проблема тоже часто возникает, чтобы там не говорили. Поэтому смысла в этой болтологии нет. Да и для обхода системных прав вирус нужен достаточно сложный, школьнегу тем более не под силу.
0 |
Truth in wine
14-09-2009 10:41:46
Вы забыли про вызовы WMI. Опять таки еще полгода назад использовал такое ПО, которое от обычного пользователя собирает всю информацию о компьютерах сети, включая пароли админа. Это что, очередная луноходная страшилка? Пруфлинк можно? Что я как то не наблюдал что бы WMI работал от пользователя в таких режимах.
0 |
авва
14-09-2009 13:57:21
И всё-таки ссылку, пожалуйста - чтобы админский пароль, да из-под пользователя... А то всё тра-ля-ля да тра-ля-ля! Конкретизируйте, пожалуйста
0 |
baab
14-09-2009 17:35:33
Малыш! В мире виндовз за все нужно платить. Если хочешь, что бы тебе написали скрипт на WMI-Python, который от обычного юзера обшарит все компы в локалке и сообщит всю инфу, включая пароли, заплати по прейскуранту. Или иди читай документацию. Как вариант скачай Total Network Inventary, и посмотри, как он работает.
0 |
авва
14-09-2009 20:15:35
Посмотрел как он работает. Чтобы содрать информацию нужно заранее ввести в Total Network Inventory пароль администратора сдираемого компа. И опять тра-ля-ля, тра-ля-ля, тра-ля-ля...
0 |
---
15-09-2009 05:11:27
Олень, тебе сказано В мире виндовз за все нужно платить.Хошь увидеть, башляй
0 |
 
15-09-2009 11:01:41
Слив защитан, балабол
0 |
авва
15-09-2009 16:31:51
Согласен башлять. Куда платить и где доказательства что я заплачу, а ты нихрена не умеешь?
0 |
10479
15-09-2009 21:54:31
Что я как то не наблюдал что бы WMI работал от пользователя в таких режимах. Согласен!
0 |
14-09-2009 12:54:55
Для получения привелегий, нужен не вирус, а exploit под дыру. Сплоиты школота накачает с интернетов.
0 |
pahan
14-09-2009 01:54:34
я теперь понял-Линукс имеют не реже,чем ВиньИз чего это понятно? И кому это понятно?
0 |
51426
14-09-2009 10:46:23
Из чего это понятно? И кому это понятно? Это понятно Из этого И понятьно это абсолютно всем вменяемым людям
0 |
29183
14-09-2009 11:35:54
И понятьно это абсолютно всем вменяемым жирным виндотроллям//fixed
0 |
84708
14-09-2009 12:40:02
Уязвимости windows - 500 Уязвимости ядра Linux - 53 Из того же источника - понятьно это абсолютно всем вменяемым людям
0 |
remonik
14-09-2009 07:10:51
человеки писанно бо "Исследователь предполагает, что сама подобная атака стала возможной из-за невнимательности администраторов этих серверов, так как они либо установили слишком простой root-пароль на сервер, либо случайно "поделились" этим паролем с хакерами. Есть также вариант и с использованием снифферов" чё ещё надо? как говариться человеческий фактор...
0 |
Страницы: 1  2  3  4  5  6  7  8  9