Обнаружен первый ботнет из инфицированных web-серверов

Александр Панасенко 14 Сентября 2009 - 13:05

...

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:

* Использование широко известных уязвимостей в популярных web-приложениях (например, WordPress версии ниже 2.8.4);
* Огранизация словарного подбора простых паролей;
* Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты).

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей.

Источник

Следующая главная новость »

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Декабря 2025 - 19:36

Несанкционированный доступ Малый и средний бизнес Корпорации Контроль привилегированных пользователей (PAM) BI.ZONE

39% киберинцидентов связаны с привилегированными учётками: тревожный тренд

По данным команды BI.ZONE TDR, почти 40% киберинцидентов с января по сентябрь 2025 года так или иначе связаны с привилегированными учётными записями. То есть злоумышленники по-прежнему предпочитают не проламывать стену, а использовать чьи-то ключи от парадной двери.

Эксперты сопоставили инциденты с техниками MITRE ATT&CK и выяснили, что:

в 57% случаев злоумышленники просто заходили под действующими учётными данными — украденными, выуженными фишингом или попавшими в сеть после утечки;
в 40% эпизодов происходили манипуляции с привилегиями: создание «невидимых» администраторов, закрепление в системе и попытки поднять уровень доступа;
в 15% случаев использовались легитимные учётные записи для удалённого доступа через SSH и другие сервисы — после чего злоумышленники свободно перемещались по инфраструктуре.

Артём Назаретян, руководитель BI.ZONE PAM, отмечает, что рост атак на привилегированные учётные записи — часть глобального тренда:

«Учётные записи продолжают оставаться удобной точкой входа. Чтобы снизить риски, компаниям важно ограничивать доступы, применять принцип минимальных привилегий и контролировать действия пользователей».

Исследование показывает: многие организации до сих пор не управляют жизненным циклом привилегированных учётных записей.

Более половины таких записей никогда не истекают и могут существовать без владельца годами.
Во многих компаниях доступы не отзываются сразу после увольнения сотрудников — что даёт злоумышленникам шанс воспользоваться забытыми аккаунтами.
На одного ИТ-специалиста сегодня приходится по 3–7 привилегированных учётных записей, от локальных администраторов до облачных сервисов.
И самое тревожное: 30–40% привилегированных учётных записей используют одинаковые или очень похожие пароли.

Это создаёт опасную цепочку: получив доступ к одной учётке, злоумышленник в ряде случаев может без труда подобрать пароль к другой — и получить куда более глубокий доступ к инфраструктуре.

В BI.ZONE подчёркивают: реальный контроль над привилегированными доступами невозможен без централизованного управления и специализированных инструментов. Иначе каждая такая учётная запись остаётся потенциальной точкой входа для атаки.

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »