Обнаружен ботнет из Linux-серверов

комментарии (18)
версия для печати

Денис Синегубко, создатель сервиса Unmask Parasites по проверке веб-сайтов на предмет их заражения, обнаружил довольно необычную схему распространения вредоносного кода. Одну из ключевых ролей в этой схеме играют легитимные серверы, что позволило эксперту говорить о "долгожданном ботнете из веб-серверов".

В течение нескольких месяцев Денис следил за кибератакой, использующей для заражения компьютеров пользователей скрытый iframe в html-страницах. Вредоносный скрипт внедряется неким способом на обычные веб-страницы, вследствие чего, когда пользователь просматривает эти страницы в своём браузере, его компьютер может быть заражен.

Превращение пользовательских компьютеров в "зомби" в таких случаях часто производится за счёт эксплуатации уязвимостей (в данном случае, как Денис выяснил ещё в апреле этого года, они использовали "дыру" в Adobe Acrobat). Данная схема довольно типична, однако с недавних пор злоумышленники внесли в неё ряд усложнений.

Так, они стали активно пользоваться услугами провайдеров динамических DNS-адресов третьего уровня. В частности, использовались сервисы DynDNS и No-IP, предлагающие выбор из 88 и 21 домена второго уровня соответственно: злоумышленники бесплатно регистрировали на них свои домены третьего уровня, которые и включались в код iframe.

Динамический DNS позволяет им в считанные минуты менять реальный IP-адрес сервера, распространяющего вредоносное ПО. Но если раньше все домены, встречающиеся в коде iframe, по наблюдениям Дениса, указывали на один из 5 IP-адресов, то с недавних пор количество реальных IP увеличилось на порядок.

Денис насчитал по крайней мере 77 (по последним данным, озвученным экспертом в переписке по e-mail, — 104) уникальных IP-адресов, принадлежащих Linux-компьютерам, расположенным в разных частях мира, преимущественно в США и Франции. Как выяснилось, на всех этих компьютерах работает веб-сервер Apache той или иной версии, причём веб-сайты, которые он обслуживает, представляются вполне легитимными.

Однако, кроме "Апача", обрабатывающего запросы к порту 80, на тех же серверах установлен ещё один веб-сервер nginx, прослушивающий 8080-й порт. Именно отсюда и происходит распространение вредоносного кода на компьютеры пользователей. В каждый момент времени активными являются 10 из этих вредоносных серверов, и каждые несколько часов производится их ротация.

"Похоже, что все эти серверы были взломаны, и их администраторы не подозревают о том, что хакерам удалось установить веб-сервер на 8080-й порт, который распространяет вредоносный контент", — пишет Денис в блоге Unmask Parasites.

Денис считает, что эти взломанные веб-серверы фактически формируют своеобразный ботнет. Теоретически они могут использоваться злоумышленниками для типичных задач вроде рассылки спама или организации DDoS-атак, однако на практике Денису не удалось это проверить, поскольку, как он сообщил нам по e-mail, нужно сравнивать их IP с адресами компьютеров, замеченных в таких действиях, а он не имеет доступа к таким ресурсам.

"Я назвал это ботнетом не из-за того, что сервера занимаются тем, чем обычно занимаются ботнеты зараженных домашних компьютеров, а потому что технически это похоже на ботнет: сеть серверов, имеющих общий командный центр (скорее всего, так как обновления идут каждый час и у меня есть основания думать, что эти обновления не были заранее жёстко закодированы) и выполняющих ряд действий скрытно от владельцев серверов", — сообщил нам Денис.

На данный момент их количество невелико, однако эксперт не исключает, что в запасе у злоумышленников имеются и другие зараженные веб-серверы.

Каким образом на легитимные серверы был подсажен лёгкий nginx с вредоносным кодом, пока неясно. Денис выдвигает гипотезу о наличии у хакеров root-паролей к Linux-серверам, которые были украдены с локальных компьютеров администраторов при помощи шпионских программ. Также он не исключает возможности того, что злоумышленники воспользовались какой-то уязвимостью, например, в Linux или Apache (впрочем, если судить по HTTP-заголовкам, дистрибутивы Linux на этой сотне серверов отличаются, отмечает Денис).

Отметим, впрочем, что пароли можно не только воровать, но и подбирать банальным брутфорсом. Конечно, админы серверов в целом относятся к вопросам безопасности серьёзнее, чем пользователи "ВКонтакте", но и среди них встречаются граждане, использующие пароли из одних единичек.

Денис уже успел связаться с DynDNS и No-IP, так что многие из предоставленных этими сервисами вредоносных доменов третьего уровня уже заблокированы. Однако вряд ли это остановит злоумышленников, которым ничего не стоит зарегистрировать для своих нужд новые домены.

Также он в настоящее время общается с представителями хостинговых компаний, которым принадлежат зараженные серверы. Но процесс по излечению этих серверов может затянуться, поскольку "хостеры сами не могут получить туда доступ без разрешения клиентов, арендующих серверы".

Другие новости