Отечественные разработчики сервиса Unmask Parasites сообщили об обнаружении ботнет-сети, состоящей из инфицированных веб-серверов, работающих под управлением Linux. Все зараженные веб-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.
На входящих в ботнет хостах, в дополнение к основному HTTP-серверу, на 8080 порту запущен дополнительный HTTP-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями веб-браузеров, поражение которых происходит при открытии инфицированных веб-страниц.
Особое значение придается унификации - выполнению серверной части ботнета и заражающей веб-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.
В настоящий момент в ботнете зафиксировано около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определен.
Подробнее