Первый ботнет из Linux-маршрутизаторов

[p2u 824]

[Это дубль, но новость достаточно уникальная; поэтому думаю, что стоит повторять и здесь]

Злоумышленникам удалось доказать возможность создания рабочих ботнет сетей на платформах отличных от Windows, захватив управление над примерно 100 тысячами ADSL мини-маршрутизаторов и задействовав их в качестве единой ботнет сети для проведения DDoS атак и рассылки спама. Захват управления стал возможен из-за халатности производителей оборудования, допустивших возможность входа с типовым паролем на открытый для внешней сети web-интерфейс или SSH/FTP/telnet порт. Основной целью атаки являются ADSL модемы Netcomm NB5, работающие под управлением Linux.

Ботнет получил название Psybot. После подбора пароля и проникновения на устройство, производится загрузка в открытую на запись директорию /var/tmp файла udhcpc.env и его запуск. udhcpc.env представляет собой сжатый универсальный исполняемый код (33 Кб), откомпилированный для платформы MIPSel, название файла подобрано для сходства с типовым DHCP пакетом.

Psybot поддерживает заражение прошивок OpenWRT и DD-WRT. Кроме подбора пароля по SSH, FTP или telnet, имеется возможность проникновения через некорректно настроенные версии phpMyAdmin и MySQL. Управление ботнетом осуществляется через IRC. Бот поддерживает выполнение более 30 управляющих команд, среди которых запуск shell, сканирование подсетей для поиска уязвимых хостов, наводнение заданного URL запросами, обновление вредоносного кода, запуск http-сервера, загрузка файлов на машину жертвы, сканирование портоа, отправка SYN, UDP или ICMP пакетов.

Пользователям всех мини-маршрутизаторов с открытыми во вне портами 22, 23 и 80, настоятельно рекомендуется обновить прошивку и заблокировать пакетным фильтром доступ из внешней сети на вышеуказанные порты.

Источник на русском

Источник на английском (внимание: 2 страницы)

PDF документ с подробностями заражения устройств

Работа руткита первый раз была замечена здесь

Думаю, что важно отметить обстоятельства, при которых можно заразиться:

1) У вас устройство mipsel

2) telnet, SSH доступны на интерфейсе WAN

3) Имя пользователя - предсказуемый и пароль - слабый

То есть: как и на Windows, многое зависит от самого пользователя.

P.S.: В теме новостей я этого не сделал, но здесь даю ещё одну ссылку linux.org.ru; там можно прочитать, как русские пользователи *nix реагируют на новость: Ботнет атакует: червь для Linux-based роутеров

Paul