-
Обнаружен первый ботнет из инфицированных web-серверов под управлением Linux
Отечественные разработчики сервиса Unmask Parasites http://www.unmaskparasites.com/ , ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления. http://blog.unmaskparasites.com/2009...e-web-servers/
На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.
Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.
В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:
Использование широко известных уязвимостей в популярных web-приложениях;
Огранизация словарного подбора простых паролей;
Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты).
Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей.
http://www.opennet.ru
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Кхм... Большому кораблю, болшая торпеда. Но, собственно то, дырки в ПО надо закрывать. Патчи не просто так выпускают
Left home for a few days and look what happens...
-
-
Продукт надо понятным делать. А патчи - они проблему не решат.
Не буду переписывать сюда то, что сказал здесь.
В самом низу.
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!
-
The worst foe lies within the self...
-
-
....К Линиху это имеет такое же отношение, как лемуры к финансовому кризису...
Хорошо сказано
-
-
valho
У Вас сайт заражён
Скрипт
бла...бла...бла...
Спасибо за информацию. Знаю об этой проблеме, пока никак не могу решить. Увы!
Сервер NGINX/0.7.62
Их не сотни, как там написано, а тысячи. Там уже админки ботнетов убиты как несколько месяцев, а у них всё эти php скрипты выполняются
-
Ответить с цитированием
