Обнаружен первый ботнет из инфицированных web-серверов под управлением Linux
 

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:
Использование широко известных уязвимостей в популярных web-приложениях;
Огранизация словарного подбора простых паролей;
Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты).

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей.

xakep.ru

Просто - Фантастика...

сучки :(

То есть мой ниибаццо php-ботнет не посчитали? Мудаки... Ну и что, что там было не больше 50 ботов. За-то вполне хорошо ддосил.

Непонятно, а как смогли поставить сам nginx? Т.е. тут нужно по сути двойная работа - вначале получить, допустим, шелл на сервере, потом получить рута, а только потом поставить прокси. И все это на хостинге. А куда админ смотрел? Новость странновата несколько. Либо деза, либо ленивый админ-студент на левом хостинге.
Ну и при таком раскладе то же самое можно сделать на любой другой операционке, при наличии уязвимости.
P.S. Кстати на других ресурсах говорится, что nginx поставлен рядом с апачем.

какая то тупая новость
Если сервер работал от имени какого то юзера - значит серверы не рутались
Как тогда они ngnix подняли, бред вобщем

Бред...такое нереально...это просто ктото довые****лся

А может реально?

в нашем Мире всё реально.....

Пора парсить исходники уязвимой части Linux'а... А вообще, советую поставить Firewall и следить за подключениями, или юзать iptables ;)