Перейти к содержанию
p2u

Первый ботнет из Linux-маршрутизаторов

Автор p2u, в Безопасность средствами операционной системы

Recommended Posts

p2u    824

p2u
Опубликовано

[Это дубль, но новость достаточно уникальная; поэтому думаю, что стоит повторять и здесь]

Злоумышленникам удалось доказать возможность создания рабочих ботнет сетей на платформах отличных от Windows, захватив управление над примерно 100 тысячами ADSL мини-маршрутизаторов и задействовав их в качестве единой ботнет сети для проведения DDoS атак и рассылки спама. Захват управления стал возможен из-за халатности производителей оборудования, допустивших возможность входа с типовым паролем на открытый для внешней сети web-интерфейс или SSH/FTP/telnet порт. Основной целью атаки являются ADSL модемы Netcomm NB5, работающие под управлением Linux.

Ботнет получил название Psybot. После подбора пароля и проникновения на устройство, производится загрузка в открытую на запись директорию /var/tmp файла udhcpc.env и его запуск. udhcpc.env представляет собой сжатый универсальный исполняемый код (33 Кб), откомпилированный для платформы MIPSel, название файла подобрано для сходства с типовым DHCP пакетом.

Psybot поддерживает заражение прошивок OpenWRT и DD-WRT. Кроме подбора пароля по SSH, FTP или telnet, имеется возможность проникновения через некорректно настроенные версии phpMyAdmin и MySQL. Управление ботнетом осуществляется через IRC. Бот поддерживает выполнение более 30 управляющих команд, среди которых запуск shell, сканирование подсетей для поиска уязвимых хостов, наводнение заданного URL запросами, обновление вредоносного кода, запуск http-сервера, загрузка файлов на машину жертвы, сканирование портоа, отправка SYN, UDP или ICMP пакетов.

Пользователям всех мини-маршрутизаторов с открытыми во вне портами 22, 23 и 80, настоятельно рекомендуется обновить прошивку и заблокировать пакетным фильтром доступ из внешней сети на вышеуказанные порты.

Источник на русском

Источник на английском (внимание: 2 страницы)

PDF документ с подробностями заражения устройств

Работа руткита первый раз была замечена здесь

Думаю, что важно отметить обстоятельства, при которых можно заразиться:

1) У вас устройство mipsel

2) telnet, SSH доступны на интерфейсе WAN

3) Имя пользователя - предсказуемый и пароль - слабый

То есть: как и на Windows, многое зависит от самого пользователя.

P.S.: В теме новостей я этого не сделал, но здесь даю ещё одну ссылку linux.org.ru; там можно прочитать, как русские пользователи *nix реагируют на новость: Ботнет атакует: червь для Linux-based роутеров

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Безопасность средствами операционной системы

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.11.
    • Ego Dekker
      Новая версия бесплатного приложения ESET Online Scanner доступна пользователям

      От Ego Dekker · Опубликовано

      ESET Online Scanner был обновлён до версии 3.7.4.0.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
×