ИТ-специалисты из компании Imperva в Нидерландах обнаружили бот-сеть, которая для работы использует не персональные компьютеры, как это обычно бывает, а скомпрометированные веб-серверы. Используется бот-сеть преимущественно для проведения DDoS-атак на те или иные веб-ресурсы.

По подсчетам Imperva, в сети на данный момент находятся по крайней мере 300 веб-серверов, подключенных к довольно мощным интернет-каналам. ИТ-специалисты говорят, что о существовании бот-сети им самим стало известно, после того, как неизвестные попытались взломать один из серверов компании с целью его превращения в очередного участника сети. "Сейчас подавляющее большинство участников бот-сетей по всему миру - это взломанные хакерами Windows-компьютеры. Серверы, работающие в качестве ботов, пока экзотика", - говорит Амачаи Шулман, технический директор Imperva.

По его словам, в последние дни указанная сеть была по крайней мере однажды использована для атаки на один из крупных интернет-проектов, расположенных на площадке в Нидерландах. "Соответствующий хостинг-провайдер был нами предупрежден", - говорит он.

ИТ-специалисты предполагают, что веб-серверы в данном случае компрометируются через уязвимость в PHP. Работает система взлома как в случае с Windows-версией сервера Apache, так и в случае с Microsoft Internet Information Services. Работает сеть довольно просто: злоумышленники просто передают всем ботам одновременные команды на отправку мусорных IP-пакетов по указанному интернет-адресу. Также хакеры указывают интенсивность и продолжительность атаки.

"В использовании серверов в качестве ботов есть своя логика: как правило, серверы мощнее рабочих станций и подключены они к более мощным интернет-каналам, поэтому вместо того, чтобы инфицировать 50 настольных ПК, можно получить контроль над одним сервером", - говорит Шулман.

13.05.2010
источник:
http://www.cybersecurity.ru/crypto/93590.html