Ботнет, основанный на скомпрометированных уязвимых веб-сайтах, наводняет Сеть
запросами, с помощью которых стоящие за ним хакеры осуществляют прямой подбор
вариантов данных авторизации к безопасным оболочкам SSH, защищающим серверы на
базе Linux, роутеры и прочие сетевые устройства.
Согласно сведениям из различных источников, бот-агенты зомби-сети
компрометируют те ресурсы, на которых установлена устаревшая версия phpMyAdmin.
Эксплуатируя пропатченную в апреле уязвимость, бот устанавливает файл под
названием dd_ssh, который начинает тралить Сеть на наличие устройств, защищенных
протоколом SSH.
Как говорится в
этом сообщении на блоге, бот-агент осуществляет брутфорс-атаки на SSH по
произвольным IP-адресам из заданного владельцами ботнета списка. Согласно
статистике сервиса DShield от SANS Institute, за период с 24 июля по 10 августа
произошел шестикратный рост числа занятых в таком сканировании
скомпрометированных источников. Количество целей за это же время выросло почти в
три раза.
Использование распределенной сети из скомпрометированных веб-серверов имеет
ряд достоинств – такой подход не только экономит пропускную способность каналов
связи и вычислительные ресурсы, но и позволяет скрыть факт сканирования от
потенциальных жертв, поскольку каждый из ботов предпринимает всего несколько
попыток подбора, а затем переходит к следующему адресу. Целью атаки является
подбор паролей, используемых для управления веб-сайтами.
Помимо угрозы непропатченным сайтам и защищенным средствами SSH устройствам,
ботнет опасен и для неуязвимых к его действиям ресурсов, поскольку обращения к
файлам admin.php, setup.php и прочим файлам PHP создают эффект DDoS-атаки.
Решение проблемы – использование “черных списков” IP-адресов и применение при
использовании SSH криптографических ключей, а не паролей.
