Botnet serwerów WWW: bo Linux też jest podatny na zombifikację

Denis Sinegubko, mieszkający na południu Rosji niezależny specjalista z dziedziny bezpieczeństwa IT, odkrył w Sieci coś niezwykłego, co raczej nie ucieszy miłośników Linuksa i rozmaitych, związanych z tych systemem mitów. Przemienione w zombie linuksowe serwery funkcjonują jak klasyczny botnet do zadań specjalnych, rozprowadzając w Sieci szkodliwe oprogramowanie.

„To co tu widzimy, to długo wyczekiwany botnet poddanych zombifikacji serwerów WWW! Grupa połączonych ze sobą serwerów ze wspólnym ośrodkiem sterującym, która służy rozprowadzaniu szkodników (…) a cały botnet jest połączony z botnetem działającym na normalnych, domowych komputerach PC” – z entuzjazmem rozpoczął swoją relację Sinegubko.

Każda z zarażonych maszyn odkrytych przez rosyjskiego badacza, to serwer wirtualny lub dedykowany, na którym hostowana jest całkiem legalna witryna, serwowana przez Apache'a na porcie 80. Jednak po cichu maszyny te uruchamiają serwer nginx na porcie 8080, wysyłając za jego pomocą szkodliwy kod. Jest to możliwe dzięki dostawcom dynamicznego DNS – DynDNS.com i No-IP.com – zapewniającym darmowe domeny, podłączane pod IP poddanych zombifikacji serwerów.

Usługi te dostarczają wielu (łącznie ponad stu) domen drugiego poziomu, które mogą być wykorzystane do konstruowania licznych i wiarygodnie wyglądających domen trzeciego poziomu. Dzięki temu atakujący mogą stosować nazwy takie jak np. server.homelinux.org – które zupełnie nie wyglądają jak typowe źródło malware'u.

Kolejnym krokiem jest wykorzystanie pływających ramek iframe, za pomocą których szkodliwy kod wstrzykiwany jest do normalnych stron internetowych. Wygląda to np. tak:

«poprzednia 1 2 następna »

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

6 skomentuj »

Komentarze

#1 k6t 2009-09-14 09:52:08 0
"pozwolili na to, by ktoś wykradł ich hasła roota za pomocą snifferów."

Przy takim zalozeniu wszystko jest zombifikowalne. Nie oznacza to bynajmniej ze linux jest jakos specjalnie podatny na zzombifikowanie.
IP: 149.156.124.[...] Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.0.13) Gecko/2009082121 Iceweasel/3.0.12 (Debian-3.0.12-1)
#2 zombie 2009-09-14 16:21:32 0
Zombifikacja? To chyba słowo z żargonu fanów różnego rodzaju haju ;] (via google)
IP: 83.13.90.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)
#3 Sławek 2009-09-14 19:54:35 0
Nie przyłożyliście. W sieci nie ma informacji, że wszystkie maszyny należały do jednego klastra. Wynika, że ktoś miał fizyczny dostęp do maszyny lub wykradł hasła(o czym już napomknęliście).
IP: 85.89.175.[...] Mozilla/5.0 (X11; U; Linux x86_64; pl-PL; rv:1.9.1.0) Gecko/20090623 SUSE/3.5.0-7.1 Firefox/3.5
#4 dom 2009-09-14 22:10:18 0
Jest rzeczą absolutnie niesamowitą, że prawie zawsze do artykułów stawiających w niezbyt dobrym świetle linuksa, pojawiają się komentarze deprecjonujące ów artykuł, napisane przez zaciekłych "fan-boy'ów". Nie, linux nie jest superbezpieczny, o czym po raz kolejny się dowiadujemy.

Ciekawy jest fakt, że atak jest na sporą skalę - sam odkryłem co najmniej kilka domen, gdzie wszystkie pliki index.* mają iframe'a załączającego złośliwy kod z powyższych serwerów.
IP: 82.143.185.[...] IBrowse/2.4 (AmigaOS 3.9; 68K)
#5 The Bit 2009-10-15 12:03:58 0
Problm, polega na, iż nie jestem przekonany co do tego sniffera, raczej to modyfikacja nginx, dlaczego? otóż zanim ogłoszono to tak

wszem i wobec, polak informował o dziwny zdażeniu, ktoś jak

gdyby pominoł etap logowania a co za ty idzie, podawania

hasła i odrazu przystąpił do transkacji download upload, co

jest jeszce dziwniejsze, to to że prawdopodobnie nie miał uprawnień root-a, a dziłania dotyczyły strefy "zdemilitaryzowanej" na wymienione szczegóły, byc może troche na wyrost przezemnie, składają sie logi, więcej o tym

fakcie można przeczytać na stronie uwlinux.

IP: 95.41.64.[...] Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
#6 ffatman 2009-11-08 14:14:25 0
Jest rzeczą absolutnie niesamowitą, że prawie zawsze do artykułów stawiających w niezbyt dobrym świetle administratorów ustawiających user:1234 pass:9876 winboye dorabiają komenty o złym Linuksie.
IP: 86.76.22.[...] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.6pre) Gecko/20091106 Ubuntu/9.04 (jaunty) Shiretoko/3.5.6pre

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.