Президент и старший исследователь консалтинговой компании Future South Technologies Джонатан Холл (Jonathan Hall) опубликовал подробный рассказ, как ему с коллегами удалось найти румынский ботнет, который взломал серверы нескольких крупных компаний, используя уязвимость Shellshock. Среди жертв оказались серверы Yahoo, WinZip и другие.
Джонатан Холл рассказал об общении с представителями взломанных компаний. В частности, Yahoo обнаружила следы ботнета на двух серверах Yahoo Games. Компания подтвердила факт взлома.
Future South Technologies нашла ботнет, исследуя источники запросов на уязвимые CGI-скрипты к одному из своих серверов. Такие запросы должны были использовать известную уязвимость в Bash и передать команды на сервер. Теоретически, метод позволяет злоумышленнику получить контроль над сервером. Проследив источник запросов, Джонатан Холл вышел на сервер WinZip и нашёл скрипт под названием ha.pl.
Изучение содержимого скрипта показало, что это IRC-бот, похожий на те, которые получают команды для проведения DDoS-атак. Но этот конкретный экземпляр был предназначен не для DDoS, а для поиска серверов с уязвимой версией Bash. Управление ботнетом осуществлялось с IRC-канала, названного очень креативно #bash, а комментарии к коду скрипта написаны по-румынски.
Холл говорит, что подключился к IRC-каналу и видел там трафик со многих известных серверов, в том числе lycos.com и yahoo.com.
В принципе, каждый может найти уязвимые сайты через Google, если поищет скрипты .pl в директории cgi-bin или в /tmp, или в /var/tmp.
