Обнаружен ботнет из серверов на базе Linux

image

Теги: ботнет, Linux, безопасность

Независимый российский ИТ-специалист Денис Синегубко обнаружил кластер, состоящий исключительно из Linux-серверов, зараженных ранее неизвестным вредоносным кодом. Данный ботнет из Linux-серверов занимается распространением вредоносного программного обеспечения.

Независимый российский ИТ-специалист Денис Синегубко обнаружил кластер, состоящий исключительно из Linux-серверов, зараженных ранее неизвестным вредоносным кодом. Данный ботнет из Linux-серверов занимается распространением вредоносного программного обеспечения.

В свое блоге Синегубко пишет, что каждая из инфицированных машин представляет собой выделенный или виртуальный выделенный сервер, на базе которого работает легитимный веб-сайт. Однако есть у данной бот-сети и еще одна особенность - инфицируются здесь только сайты, работающие на связки Apache - Nginx, являющейся довольно популярной в Рунете.

Исследователь отмечает, что данный ботнет состоит только из серверов. Причем этот серверный ботнет может взаимодействовать с классическими ботнетами из домашних настольных ПК.

В блоге также говорится, что все инфицированные машины обслуживали 80-й порт, используемый для работы веб-сайтов, однако на заднем фоне сервер отправлял вредоносный трафик через порт 8080. Содержимое здесь доставлялось при помощи сторонних провайдеров, предлагавших бесплатную поддержку DNS-сервиса. В итоге при обращении к зараженному серверу в добавок к легитимному контенту сервер через Iframe доставлял заданный хакерами контент.

Синегубко считает, что с точки зрения злоумышленников всегда надежнее иметь как серверные, так и клиентские бот-сети. По его мнению, такие гетерогенные системы гораздо более гибкие.

Пока неизвестно, сколько именно серверов пали жертвой подобной атаки. Исследователь предполагает, что сама подобная атака стала возможной из-за невнимательности администраторов этих серверов, так как они либо установили слишком простой root-пароль на сервер, либо случайно "поделились" этим паролем с хакерами. Есть также вариант и с использованием снифферов.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus