anonymous@RULINUX.NET~# Last login: 2024-12-28 18:21:31
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

[Толсто][opennet.ru] Обнаружен первый ботнет из инфицированных web-серверов

копипаста с:  http://www.opennet.ru/opennews/art.shtml?num=23387

[копипаста]

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:

  •   Использование широко известных уязвимостей в популярных web-приложениях (например, WordPress версии ниже 2.8.4);
  •   Огранизация словарного подбора простых паролей;
  •   Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты).

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей.

Из других интересных тенденций развития зомби-сетей можно отметить переход к организации передачи управляющих команд через группы в Google Groups и каналы в Twitter, в то время как ранее управление осуществлялось в основном через IRC.

[/копипаста]

Root-msk(*) (2009-09-13 16:50:00)

Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14

[Ответить на это сообщение]
avatar
Скрыть

Re: [Толсто][opennet.ru] Обнаружен первый ботнет из инфицированных web-серверов

Решето!

gnomino(*)(2009-09-13 17:31:17)

Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.1.2) Gecko/20090730 SUSE/3.5.2-2.1 Firefox/3.5.2
avatar
Скрыть

Re: [Толсто][opennet.ru] Обнаружен первый ботнет из инфицированных web-серверов

похапе

bugmaker(*)(2009-09-13 21:53:58)

Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14
avatar
Скрыть

Re: [Толсто][opennet.ru] Обнаружен первый ботнет из инфицированных web-серверов

По-моему это кто-то не разобравшись понаписал.

anonymous(*)(2009-09-14 00:35:05)

avatar
Скрыть

Re: [Толсто][opennet.ru] Обнаружен первый ботнет из инфицированных web-серверов

Да напишите уже Stallmanix кто-нибудь!

anonymous(*)(2009-09-14 10:44:03)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
avatar
Скрыть

Re: [Толсто][opennet.ru] Обнаружен первый ботнет из инфицированных web-серверов

[толсто]естественно, это всё от монолитности, вот выйдет микроядерный хурд...[/толсто]

anonymous(*)(2009-09-14 13:56:41)

Mozilla/5.0 (Windows; U; Windows NT 5.2; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
avatar
Скрыть

Re: [Толсто][opennet.ru] Обнаружен первый ботнет из инфицированных web-серверов

> это всё от монолитности
Это не от монолитности, а от умственной бездуховности авторов текста. Вот представь себе - как можно через дырочку в вордпрессе поставить nginx на "аккаунте хостинга" (это что, шаред хостинг?)

anonymous(*)(2009-09-14 15:14:02)

Этот тред читают 1 пользователь:
Анонимных: 1
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!