Ботнет веб-сервера Linux: страшнее, чем обычные ботнеты!
Ваш скромный блог-наблюдатель выбрал эти блоггерские кусочки для вашего удовольствия.
Дэн Гудин предупреждает о "Linux-ботнете":
Исследователь безопасности обнаружил кластер зараженных серверов Linux, которые были загнаны в специальный ботнет ops и использовались для распространения вредоносных программ. ... Зараженные машины ... подавайте законный трафик на порт 80, стандартный TCP-порт, используемый веб-сайтами. За кулисами мошеннический сервер отправляет вредоносный трафик через порт 8080.
...
Вредоносные полезные нагрузки затем доставляются с помощью динамических DNS-хостинг-провайдеров, которые предлагают бесплатные доменные имена, сопоставленные с IP-адресом зомби-веб-сервера. ... Имея около 100 узлов, сеть относительно невелика, что делает неясным, каковы именно намерения злоумышленников. Все коробки, рассмотренные до сих пор, запускали веб-сервер Apache на различных дистрибутивах Linux. Еще
Максим Вайнштейн из StopBadware имеет больше:
В блоге разоблачения паразитов, периодическое BadwareBusters.org автор статьи Денис сообщает о ботвебе (термин, придуманный нашим собственным Оливером Дэем), который он расследовал. ... Сообщение в блоге содержит гораздо более тщательный анализ этой проблемы и стоит прочитать, особенно если вы работаете на хостинг-провайдера или управляете веб-серверами на базе Linux.
Тем временем мы связались с Денисом, чтобы узнать, можем ли мы помочь в уведомлении поставщиков, которые размещают скомпрометированные серверы.
Денис Синегубко-это лошадь с пастью:
Это началось, когда я начал замечать новый паттерн в доменах скрытых iframes. ... Я понял, что все эти домены были зарегистрированы у бесплатных поставщиков динамического DNS-хостинга: DynDNS.com и еще No-IP.com эти сайты позволяют любому желающему бесплатно зарегистрировать любой домен третьего уровня и указать на него любой статический или динамический IP-адрес. ... большинство доменов третьего уровня указывают на разные IP-адреса. В настоящее время активные домены из моего списка указывают на 77 уникальных IP-адресов по всему миру. ... Пришло время проверить, есть ли несанкционированный веб-сервер, работающий на порту 8080.
...
Каждый сервер работает как балансировщик нагрузки для других вредоносных серверов, используемых в этой атаке. При попытке загрузить любой URL-адрес iframe вы перенаправляетесь на случайный сервер. ... То, что мы видим здесь, - это долгожданный ботнет зомби-веб-серверов! Группа взаимосвязанных зараженных веб-серверов с общим центром управления, участвующих в распространении вредоносных программ. ... Кто знает, что еще может сделать этот зараженный веб-сервер? Они могут быть вовлечены в распространение спама, в DDOS-атаки и т.д. Они могут делать все, что делают обычные зомби-компьютеры, но более эффективно благодаря лучшему подключению к интернету. Еще
Ботнет Linux? Стивен Воган-Николс отвечает:"
Ах, поклонники Windows повсюду, мне очень не хочется ломать вам это, но скомпрометированные серверы Linux уже много веков используются для запуска ботнетов Windows. В конце концов, если бы у вас было несколько сотен тысяч компьютеров с Windows в вашем распоряжении, вы бы использовали Windows для управления ими? Конечно, нет!
...
Все, что произошло, - это то, что кто-то, как и многие другие в прошлом, взломал неправильно защищенные серверы Linux. ... Разница между 100-узловым машинным кластером Linux, который нашел Синегубко, и реальными ботнетами Windows, которые в 2006 году составляли в среднем 20 000 ПК, заключается в том, что Windows, которая небезопасна по дизайну, может быть превращена в бота, просто перейдя на неправильный веб-сайт или открыв поврежденную электронную почту. С другой стороны, Linux-серверы просто паршивы ... - Немедленно увольте системного администратора, служба безопасности. Еще
burnin1965 не согласен с SJVN, но говорит, что Linux botwebs не являются чем-то новым:
Существует непрерывный поток SSH-атак грубой силы на любую машину *nix, подключенную к интернету. ... Понаблюдав за атаками некоторое время, я установил окно, чтобы посмотреть, что они делают, и создал тест имени пользователя с тестом пароля. ... Это было незадолго до того, как система была "скомпрометирована".
...
Используя другую систему, я подключился к IRC-сети. ... Конечно же, там были два человека, болтающие об этом в канале и посылающие команды сотням скомпрометированных систем. Рассматривая различные скомпрометированные системы, я заметил, что все они были машинами *nix того или иного типа. Это было несколько лет назад ... в этом нет ничего нового. Что было бы новым, так это если бы ботнет, подобный этому, был обнаружен в результате реального взлома, а не какого-то дурацкого сканирования пароля для входа в систему. Еще
Но easyTree считает, что это делает для легкого тролля:
Приятно видеть, что Lo0niX продвинулся до точки, где он теперь может успешно запускать программное обеспечение ботнета. Держу пари, что никакого графического интерфейса нет. Я не в курсе команд linux, так что не смейтесь, но я готов поспорить, что это что-то вроде:
* apt get b0tnet-s-x9-secret-warez-pr0n-infectWindows=1-p
Вместо того, чтобы указывать и нажимать удобство, которое вы ожидаете в windows. Еще
Дата публикации: Дэн Гудин предупреждает о "Linux-ботнете":
Исследователь безопасности обнаружил кластер зараженных серверов Linux, которые были загнаны в специальный ботнет ops и использовались для распространения вредоносных программ. ... Зараженные машины ... подавайте законный трафик на порт 80, стандартный TCP-порт, используемый веб-сайтами. За кулисами мошеннический сервер отправляет вредоносный трафик через порт 8080.
...
Вредоносные полезные нагрузки затем доставляются с помощью динамических DNS-хостинг-провайдеров, которые предлагают бесплатные доменные имена, сопоставленные с IP-адресом зомби-веб-сервера. ... Имея около 100 узлов, сеть относительно невелика, что делает неясным, каковы именно намерения злоумышленников. Все коробки, рассмотренные до сих пор, запускали веб-сервер Apache на различных дистрибутивах Linux. Еще
Максим Вайнштейн из StopBadware имеет больше:
В блоге разоблачения паразитов, периодическое BadwareBusters.org автор статьи Денис сообщает о ботвебе (термин, придуманный нашим собственным Оливером Дэем), который он расследовал. ... Сообщение в блоге содержит гораздо более тщательный анализ этой проблемы и стоит прочитать, особенно если вы работаете на хостинг-провайдера или управляете веб-серверами на базе Linux.
Тем временем мы связались с Денисом, чтобы узнать, можем ли мы помочь в уведомлении поставщиков, которые размещают скомпрометированные серверы.
Денис Синегубко-это лошадь с пастью:
Это началось, когда я начал замечать новый паттерн в доменах скрытых iframes. ... Я понял, что все эти домены были зарегистрированы у бесплатных поставщиков динамического DNS-хостинга: DynDNS.com и еще No-IP.com эти сайты позволяют любому желающему бесплатно зарегистрировать любой домен третьего уровня и указать на него любой статический или динамический IP-адрес. ... большинство доменов третьего уровня указывают на разные IP-адреса. В настоящее время активные домены из моего списка указывают на 77 уникальных IP-адресов по всему миру. ... Пришло время проверить, есть ли несанкционированный веб-сервер, работающий на порту 8080.
...
Каждый сервер работает как балансировщик нагрузки для других вредоносных серверов, используемых в этой атаке. При попытке загрузить любой URL-адрес iframe вы перенаправляетесь на случайный сервер. ... То, что мы видим здесь, - это долгожданный ботнет зомби-веб-серверов! Группа взаимосвязанных зараженных веб-серверов с общим центром управления, участвующих в распространении вредоносных программ. ... Кто знает, что еще может сделать этот зараженный веб-сервер? Они могут быть вовлечены в распространение спама, в DDOS-атаки и т.д. Они могут делать все, что делают обычные зомби-компьютеры, но более эффективно благодаря лучшему подключению к интернету. Еще
Ботнет Linux? Стивен Воган-Николс отвечает:"
Ах, поклонники Windows повсюду, мне очень не хочется ломать вам это, но скомпрометированные серверы Linux уже много веков используются для запуска ботнетов Windows. В конце концов, если бы у вас было несколько сотен тысяч компьютеров с Windows в вашем распоряжении, вы бы использовали Windows для управления ими? Конечно, нет!
...
Все, что произошло, - это то, что кто-то, как и многие другие в прошлом, взломал неправильно защищенные серверы Linux. ... Разница между 100-узловым машинным кластером Linux, который нашел Синегубко, и реальными ботнетами Windows, которые в 2006 году составляли в среднем 20 000 ПК, заключается в том, что Windows, которая небезопасна по дизайну, может быть превращена в бота, просто перейдя на неправильный веб-сайт или открыв поврежденную электронную почту. С другой стороны, Linux-серверы просто паршивы ... - Немедленно увольте системного администратора, служба безопасности. Еще
burnin1965 не согласен с SJVN, но говорит, что Linux botwebs не являются чем-то новым:
Существует непрерывный поток SSH-атак грубой силы на любую машину *nix, подключенную к интернету. ... Понаблюдав за атаками некоторое время, я установил окно, чтобы посмотреть, что они делают, и создал тест имени пользователя с тестом пароля. ... Это было незадолго до того, как система была "скомпрометирована".
...
Используя другую систему, я подключился к IRC-сети. ... Конечно же, там были два человека, болтающие об этом в канале и посылающие команды сотням скомпрометированных систем. Рассматривая различные скомпрометированные системы, я заметил, что все они были машинами *nix того или иного типа. Это было несколько лет назад ... в этом нет ничего нового. Что было бы новым, так это если бы ботнет, подобный этому, был обнаружен в результате реального взлома, а не какого-то дурацкого сканирования пароля для входа в систему. Еще
Но easyTree считает, что это делает для легкого тролля:
Приятно видеть, что Lo0niX продвинулся до точки, где он теперь может успешно запускать программное обеспечение ботнета. Держу пари, что никакого графического интерфейса нет. Я не в курсе команд linux, так что не смейтесь, но я готов поспорить, что это что-то вроде:
* apt get b0tnet-s-x9-secret-warez-pr0n-infectWindows=1-p
Вместо того, чтобы указывать и нажимать удобство, которое вы ожидаете в windows. Еще
Автор: Keylogger.Org Команда
