Президент и старший исследователь консалтинговой компании Future South Technologies Джонатан Холл (Jonathan Hall) опубликовал подробный рассказ, как ему с коллегами удалось найти румынский ботнет, который взломал серверы нескольких крупных компаний, используя уязвимость Shellshock. Среди жертв оказались серверы Yahoo, WinZip и другие.

Джонатан Холл рассказал об общении с представителями взломанных компаний. В частности, Yahoo обнаружила следы ботнета на двух серверах Yahoo Games. Компания подтвердила факт взлома.

Future South Technologies нашла ботнет, исследуя источники запросов на уязвимые CGI-скрипты к одному из своих серверов. Такие запросы должны были использовать известную уязвимость в Bash и передать команды на сервер. Теоретически, метод позволяет злоумышленнику получить контроль над сервером. Проследив источник запросов, Джонатан Холл вышел на сервер WinZip и нашёл скрипт под названием ha.pl.

Изучение содержимого скрипта показало, что это IRC-бот, похожий на те, которые получают команды для проведения DDoS-атак. Но этот конкретный экземпляр был предназначен не для DDoS, а для поиска серверов с уязвимой версией Bash. Управление ботнетом осуществлялось с IRC-канала, названного очень креативно #bash, а комментарии к коду скрипта написаны по-румынски.

Холл говорит, что подключился к IRC-каналу и видел там трафик со многих известных серверов, в том числе lycos.com и yahoo.com.

В принципе, каждый может найти уязвимые сайты через Google, если поищет скрипты .pl в директории cgi-bin или в /tmp, или в /var/tmp.



3 комментария

  1. 07.10.2014 at 12:40

    «несколько серверы нескольких» — тарабарщина.

  2. 07.10.2014 at 13:15

    Помнится, кто-то раньше писал, что дырка в bash — фигня, которая не стоит раздутой вокруг неё шумихи… 🙂

  3. 09.10.2014 at 19:59

Оставить мнение