Президент и старший исследователь консалтинговой компании Future South Technologies Джонатан Холл (Jonathan Hall) опубликовал подробный рассказ, как ему с коллегами удалось найти румынский ботнет, который взломал серверы нескольких крупных компаний, используя уязвимость Shellshock. Среди жертв оказались серверы Yahoo, WinZip и другие.

Джонатан Холл рассказал об общении с представителями взломанных компаний. В частности, Yahoo обнаружила следы ботнета на двух серверах Yahoo Games. Компания подтвердила факт взлома.

Future South Technologies нашла ботнет, исследуя источники запросов на уязвимые CGI-скрипты к одному из своих серверов. Такие запросы должны были использовать известную уязвимость в Bash и передать команды на сервер. Теоретически, метод позволяет злоумышленнику получить контроль над сервером. Проследив источник запросов, Джонатан Холл вышел на сервер WinZip и нашёл скрипт под названием ha.pl.

Изучение содержимого скрипта показало, что это IRC-бот, похожий на те, которые получают команды для проведения DDoS-атак. Но этот конкретный экземпляр был предназначен не для DDoS, а для поиска серверов с уязвимой версией Bash. Управление ботнетом осуществлялось с IRC-канала, названного очень креативно #bash, а комментарии к коду скрипта написаны по-румынски.

Холл говорит, что подключился к IRC-каналу и видел там трафик со многих известных серверов, в том числе lycos.com и yahoo.com.

В принципе, каждый может найти уязвимые сайты через Google, если поищет скрипты .pl в директории cgi-bin или в /tmp, или в /var/tmp.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии