Apaches zumbis: Descoberta botnet formada por servidores web com Linux
Segundo o Vivalinux com ar, um pesquisador russo descobriu um conjunto de servidores Linux (com distribuições variadas) comprometidos e convertidos em uma botnet para distribuir malware a navegantes desprevenidos usando Windows.
Seria a primeira botnet de servidores web conectados a um centro de controle compartilhado para distribuir software malicioso que, adicionalmente, estaria conectada a outra botnet de computadores pessoais.
A observação do modo de ação destes servidores-zumbis levou à teoria de que os servidores que a integram não foram comprometidos via falhas não atualizadas dos seus softwares, e sim via comprometimento das suas senhas de acesso, por intermédio de sniffing ou outras técnicas.
Cada um dos servidores comprometidos (dedicados ou virtuais) executa seu servidor Apache legítimo e original na porta 80, e mais um servidor nginx “clandestino” na porta 8080, para distribuir o malware, com ajuda de provedores de DNS dinâmicos.
Com apenas 100 integrantes, trata-se de uma botnet pequena, mas pode ser uma prova de conceito ou um ensaio, segundo o pesquisador que a descobriu. (via vivalinux.com.ar)
Saiba mais (vivalinux.com.ar).
@brlinuxblog
Feed RSS
A notícia também saiu no site da Info sob o título Servidores Linux também distribuem malware. Porém, a notícia da forma como saiu no Vivalinux.com.ar me pareceu mais completa e menos tendenciosa.
ahaha ! botao direito ‘salvar como’ na imagem do zumbis !! muito boa !!!
A parte que me deixou mais intrigado:
“os servidores que a integram não foram comprometidos via falhas não atualizadas dos seus softwares, e sim via comprometimento das suas senhas de acesso, por intermédio de sniffing ou outras técnicas.”
Ou seja o inimigo, de alguma forma, veio de dentro…
Querem apostar que um troll vai comentar:
“Tá vendo, quem disse que o linux não pega vírus”
:-)
Certamente são servidores pequenos. Empresas sérias não deixariam uma brecha dessas aberta durante muito tempo. Poderia até acontecer da brecha ser aberta, mas rapidamente detectada e reparada.
Esses tempos li um artigo(não lembro onde) que falava sobre esse problema.
Onde o autor alegava que a maior fraqueza se encontra no fato das pessoas ainda usarem FTP para atualizarem seus sites.
E como qualquer um que já estudou ou usou o WireShark(ex-Ethereal) sabe, é muito fácil ver a pegar a senha de FTP, pois ela vai em claro.
Se por exemplo trabalhar em uma empresa e atualizar seu site, por quantos computadores os pacotes irão passar até ir para internet ?
Desde um funcionário qualquer rodando um sniffer até alguém que tenha acesso aos servidores, proxies e a fins pode ter pego a senha.
Isso pode ser desde senha fácil até mesmo um sniffer no meio do caminho.
Uma boa solução é utilizar desde https para acesso ao painel até mesmo o uso de scp/sftp para o envio e recebimento de arquivos.
Quero ver se alguém consegue enxergar a senha de root.
De fato quem lida com grandes servidores sempre se preocupa por muita segurança, afinal, são os mais visados e atacados pelos crackers… Os hackers usam configurações complexas e muito personalizadas de forma a dificultar a vida do invasor. Entretanto achar brechas em pequenos servidores é muito fácil, pois, como o acesso aos servidores e à internet está muito barato, o nível de segurança nos servidores cai. Não existem profissionais devidamente qualificados operando tais servidores.
Todo sistema mal configurado é menos seguro.
Dois dos softwares mais seguros da atualidade são Apache e… IIS. Conta-se nos dedos da mão do Lula a quantidade de falhas nos últimos anos.
O caso acima tem todo o cheiro de ser BIOS, e contra BIOS não há segurança que resista.
Tá vendo? Quem disse que linux não pega vírus? ;)
wow, o Cardoso não metendo o pau no linux… fim dos tempos?
=op
[2]