Версия для КПК

GaGa.Su

Услуги специалистов

Нижнего Новгорода


Безопасность

Обнаружен первый ботнет из инфицированных web-серверов

Безопасность 

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-сер ...

Безопасность

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:

  • Использование широко известных уязвимостей в популярных web-приложениях (например, WordPress версии ниже 2.8.4);
  • Огранизация словарного подбора простых паролей;
  • Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты).s

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей.

Из других интересных тенденций развития зомби-сетей можно отметить переход к организации передачи управляющих команд через группы в Google Groups и каналы в Twitter, в то время как ранее управление осуществлялось в основном через IRC.


OpenNET
13.09.2009
 
БезопасностьРейтинг Firewall-ов (Безопасность) 13.09.2009

Какой из Firewall-ов самый самый? Подробнее...

БезопасностьВерховный суд: Приказ Минкомсвязи о чтении переписки законен (Безопасность) 11.09.2009

Сегодня свой вердикт о приказе Минкомсвязи, касающемся доступа спецслужб к почтовой переписке, вынес Верховный суд. Он отклонил иск Павла Нетупского и не согласился с утверждением Генпрокуратуры о том Подробнее...

Безопасность28% российских компаний контролируют электронную почту работников (Безопасность) 11.09.2009

Более четверти (28%) российских компаний контролируют переписку своих сотрудников по корпоративной электронной почте, 7% — коммуникации при помощи интернет-мессенджеров, а 3% — общение по Skype, утвер Подробнее...

БезопасностьВ Москве обезврежены мошенники, укравшие 100 млн руб. через SMS (Безопасность) 20.05.2009

В Москве обезврежены мошенники, укравшие 100 млн руб. через SMS Подробнее... Форум

БезопасностьHeartbleed, ShellShock, Winshock и Kerberos – «четыре всадника Апокалипсиса» в цифровом пространстве (Безопасность) 16.01.2015

По мнению вице-президента LightCyber, эти уязвимости могут быть гораздо более распространенными, чем принято считать. Подробнее...

Содержание

Нижний Новгород