Отечественные
разработчики сервиса
Unmask Parasites, ориентированного на выявление зараженных
троянскими вставками web-страниц,
сообщили об обнаружении ботнет-сети, состоящей из
инфицированных web-серверов, работающих под управлением Linux. Все
зараженные web-серверы поддерживают обмен данными между узлами и
составляют единый ботнет, функционирование которого контролируется
из одного центра управления.
На входящих в ботнет хостах, в дополнение к основному
http-серверу, на 8080 порту запущен дополнительный http-сервер
nginx, ориентированный на обработку запросов, формируемых
инфицированными страницами с троянскими JavaScript вставками.
Основная задача обнаруженного ботнета - поддержание сети для
доставки злонамеренного ПО на машины клиентов, пользующихся
содержащими уязвимости версиями web-браузеров, поражение которых
происходит при открытии инфицированных web-страниц.
Особое значение придается унификации - выполнению серверной
части ботнета и заражающей web-страницы на одном хосте.
Использование реально функционирующего домена в "iframe src" или
"javascript src" вставке значительно повышает время жизни
инфицирующей страницы, по сравнению с указанием внешних ссылок, и
позволяет обойти некоторые средства антивирусной защиты, если
серверный злонамеренный код обрабатывает запросы в том же домене,
хотя и под другим номером порта.
В настоящий момент в ботнете зафиксировано только около сотни
серверов, работающих под управлением различных дистрибутивов
Linux. Сеть выглядит как первый прототип и следует иметь в виду,
что не представляет большого труда адаптировать серверную часть
кода злоумышленников для других операционных систем. Код работает
с правами пораженного аккаунта хостинга. Точно путь внедрения кода
пока не определено, но наиболее вероятны три варианта организации
загрузки и запуска кода злоумышленника на сервере:
- Использование широко известных уязвимостей в
популярных web-приложениях; - Огранизация словарного подбора простых паролей;
- Поражение троянским ПО одной из клиенских машин и
последующая организация сниффинга FTP-паролей в локальной сети
(именно так сейчас осуществляется получение паролей для
подстановки троянских JavaScript вставок на сайты).
Web-мастерам и владельцам сайтов настоятельно рекомендуется
проконтролировать публикацию отчетов о наличии уязвимостей в
используемых общедоступных web-приложениях, произвести установку
всех рекомендуемых обновлений, проверить наличие вирусов на
машинах в локальной сети и провести аудит используемых паролей.
