Grupa linuksowych serwerów źródłem złośliwego oprogramowania

Denis Sinegubko, niezależny ekspert do spraw bezpieczeństwa z rosyjskiego Magnitogorska, ustalił, że w sieci działa klaster zarażonych serwerów linuksowych. Ich zadaniem jest dystrybucja złośliwego oprogramowania.

Każda z dotychczas wytropionych maszyn to dedykowany lub wirtualny dedykowany serwer, który zarządza całkowicie legalną stroną internetową. Ale oprócz głównego modułu Apache działa w nich nginx, który zapisuje na komputerach użytkowników złośliwy kod.

Sinegubko napisał:

[cytat]To, co tutaj widzimy to długo wyczekiwany botnet złożony z serwerów zombie. Jest to grupa połączonych maszyn ze wspólnym centrum sterowania, którego zadaniem jest dystrybucja złośliwego oprogramowania.

[/cytat]

Sytuację pogarsza fakt, że serwerowy botnet współpracuje z drugim, klasycznym, złożonym z domowych komputerów. Dzięki temu osoby nadzorujące całą sieć mają ułatwione zadanie. Kontrolowanie botnetów to trudna sprawa, którą przejęcie serwerów znacznie upraszcza.

W ciągu ostatnich tygodni donoszono już o wydawaniu poleceń za pośrednictwem grup dyskusyjnych Google oraz Twittera. Odkrycie Rosjanina przenosi jednak walkę z hakerami na wyższy poziom.

Zarażone serwery wysyłają standardowe pakiety na zwykłym porcie 80. Poza tym przekazują złośliwy kod w ramach portu 8080. Na pierwszy rzut oka zachowanie hostowanych witryn jest więc normalne.

Nie wiadomo do końca w jaki sposób serwery zostały zainfekowane. Najpewniej hakerzy przejęli od administratorów ich hasła. Łącznie udało im się opanować około setki maszyn. Na razie nie wyrządzili żadnych szkód. Być może cała akcja jest tylko eksperymentem.

Źródło: The Register