Обнаружен первый ботнет из инфицированных web-серверов

Обнаружен первый ботнет из инфицированных web-серверов

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:

  * Использование широко известных уязвимостей в популярных web-приложениях (например, WordPress версии ниже 2.8.4);
  * Огранизация словарного подбора простых паролей;
  * Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты). 

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей. 

Источник

MAXимальная потеря: власти Новороссийска не смогли вернуть свой канал

Администрация Новороссийска сообщила о потере своего канала в мессенджере МАКС. По версии чиновников, ресурс взломали 15 июля, причём восстановить его уже невозможно. Подписчиков оперативно позвали в новый канал — старый, судя по формулировке властей, отправился в цифровую бездну окончательно.

История быстро вызвала вопросы. Всё-таки речь идёт о канале муниципальной администрации в российском мессенджере, а не о подпольной бирже секретных документов.

В комментариях пользователи иронизируют: раньше взламывали Telegram, теперь добрались и до МАКС.

Впрочем, версия со взломом оказалась не единственной. Краснодарский аналитик Андрей Гусий написал, что канал мог просто закрыться ночью без предупреждений, уведомлений и понятной причины. При этом, по его словам, опубликованный там контент едва ли нарушал законодательство.

Почему ресурс невозможно вернуть, тоже не объясняется. Гусий обратил внимание на странную конструкцию: отечественный мессенджер, отечественная администрация, а восстановить канал всё равно нельзя.

Пока власти не раскрыли ни подробностей атаки, ни данных о возможных злоумышленниках. Неизвестно также, получили ли посторонние доступ к переписке или публикациям.

В сухом остатке у Новороссийска теперь новый официальный канал, а у МАКС — крайне неудобный вопрос к надёжности. Потому что фраза «взломан без возможности восстановления» для административного ресурса звучит не как реклама цифрового суверенитета, а как его внезапный стресс-тест.

RSS: Новости на портале Anti-Malware.ru