Еще один первый линуксовый ботнет
dl // 12.09.09 23:34
Исследователь из Магнитогорска Денис Синегубко обнаружил сеть из linux-серверов, занимающихся распространением вредоносного ПО.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/09/04.html]
Каждая из обнаруженных систем представляет собой либо выделенный, либо виртуальный сервер, поддерживающий вполне нормальный вебсайт. Однако помимо Apache, обслуживающего основной сайт, на этих серверах запущен nginx, обрабатывающий запросы на 8080-м порту. С помощью служб бесплатных динамических DNS для этих серверов сгенерирован и регулярно обновляется ряд доменов третьего уровня, и все это хозяйство обслуживает ссылки, внедренные на различные веб-страницы с помощью iframe.
Синегубко назвал этот случай долгожданным примером ботнета из зомби-веб-серверов. Строго говоря, описанная сеть не вполне подходит под традиционные характеристики ботнета, поскольку входящие в нее серверы, скорее всего, были захвачены вручную, да и входит в нее всего лишь около сотни узлов. А совсем строго говоря, первым линуксовым ботнетом уже называли ботнет, основанный на захваченных dsl-модемах, использующих Linux/MIPS.
С другой стороны, это действительно первый известный пример группы захваченных и централизованно управляемых полноценных серверов, так что не будем придираться к формулировкам.
