01:10 13.09.2009 Бот-сеть из серверов | |
Независимый российский ИТ-специалист Денис Синегубко сообщил об
обнаружении нетипичной интернет-атаки, ему удалось обнаружить кластер,
состоящий исключительно из Linux-серверов, зараженных ранее неизвестным
вредоносным кодом. Полученная бот-сеть из Linux-серверов занимается
распространением вредоносного программного обеспечения. По его словам, каждая из инфицированных машин представляет собой
выделенный или виртуальный выделенный сервер, на базе которого работает
легитимный веб-сайт. Однако есть у данной бот-сети и еще одна
особенность - инфицируются здесь только сайты, работающие на связки
Apache - Nginx, являющейся довольно популярной в Рунете. "Мы видим здесь давно ожидаемую бот-сеть, состоящую не из клиентских
компьютеров, а только из серверов. Чтобы еще больше усложнить ситуацию
эта серверная бот-сеть может взаимодействовать с классическими
бот-сетями из домашних настольных ПК", - пишет Денис в своем блоге. Поиск новых способов создания и работы с бот-сетями стал в последнее
время крайне актуален для злоумышленников. Буквально на днях компания
Symantec сообщила об обнаружении использования сервиса телеконференций
Google Groups в качестве командного сервера для управления троянцами,
раньше появились данные об использовании аналогичным способом сервис
микро-блогов Twitter. В случае с данным способом, все инфицированные машины обслуживали 80-й
порт, используемый для работы веб-сайтов, однако на заднем фоне сервер
отправлял вредоносный трафик через порт 8080. Содержимое здесь
доставлялось при помощи сторонних провайдеров, предлагавших бесплатную
поддержку DNS-сервиса. В итоге при обращении к зараженному серверу в
добавок к легитимному контенту сервер через Iframe доставлял заданный
хакерами контент. "С точки зрения злоумышленников всегда надежнее иметь как серверные,
так и клиентские бот-сети, такие гетерогенные системы гораздо более
гибкие", - заключает Синегубко. На данный момент непонятно, сколько именно серверов пали жертвой
подобной атаки. По предположению исследователя, сама подобная атака
стала возможной из-за невнимательности администраторов этих серверов,
так как они либо установили слишком простой root-пароль на сервер, либо
ненароком "поделились" этим паролем с хакерами. Есть также вариант и с
использованием снифферов. Синегубко говорит, что пока ему удалось обнаружить кластер из сотни
серверов, что в масштабах бот-сетей немного, поэтому специалист
предполагает, что подобная атака сейчас является в большей степени
концептуальной. Что же касается динамических хостинг DNS-провайдеров,
то злоумышленники используют компании DynDNS.com и NO-IP.com.
| |
|
Всего комментариев: 0 | |