Обнаружен первый ботнет из инфицированных web-серверов

Александр Панасенко 14 Сентября 2009 - 13:05

...

Отечественные разработчики сервиса Unmask Parasites, ориентированного на выявление зараженных троянскими вставками web-страниц, сообщили об обнаружении ботнет-сети, состоящей из инфицированных web-серверов, работающих под управлением Linux. Все зараженные web-серверы поддерживают обмен данными между узлами и составляют единый ботнет, функционирование которого контролируется из одного центра управления.

На входящих в ботнет хостах, в дополнение к основному http-серверу, на 8080 порту запущен дополнительный http-сервер nginx, ориентированный на обработку запросов, формируемых инфицированными страницами с троянскими JavaScript вставками. Основная задача обнаруженного ботнета - поддержание сети для доставки злонамеренного ПО на машины клиентов, пользующихся содержащими уязвимости версиями web-браузеров, поражение которых происходит при открытии инфицированных web-страниц.

Особое значение придается унификации - выполнению серверной части ботнета и заражающей web-страницы на одном хосте. Использование реально функционирующего домена в "iframe src" или "javascript src" вставке значительно повышает время жизни инфицирующей страницы, по сравнению с указанием внешних ссылок, и позволяет обойти некоторые средства антивирусной защиты, если серверный злонамеренный код обрабатывает запросы в том же домене, хотя и под другим номером порта.

В настоящий момент в ботнете зафиксировано только около сотни серверов, работающих под управлением различных дистрибутивов Linux. Сеть выглядит как первый прототип и следует иметь в виду, что не представляет большого труда адаптировать серверную часть кода злоумышленников для других операционных систем. Код работает с правами пораженного аккаунта хостинга. Точно путь внедрения кода пока не определено, но наиболее вероятны три варианта организации загрузки и запуска кода злоумышленника на сервере:

* Использование широко известных уязвимостей в популярных web-приложениях (например, WordPress версии ниже 2.8.4);
* Огранизация словарного подбора простых паролей;
* Поражение троянским ПО одной из клиенских машин и последующая организация сниффинга FTP-паролей в локальной сети (именно так сейчас осуществляется получение паролей для подстановки троянских JavaScript вставок на сайты).

Web-мастерам и владельцам сайтов настоятельно рекомендуется проконтролировать публикацию отчетов о наличии уязвимостей в используемых общедоступных web-приложениях, произвести установку всех рекомендуемых обновлений, проверить наличие вирусов на машинах в локальной сети и провести аудит используемых паролей.

Источник

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Марта 2026 - 15:59

UserGate DCFW Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW)Защищенные VPN-шлюзы UserGate

UserGate добавит ГОСТ VPN в NGFW — пилоты начнутся осенью

UserGate объявила о разработке собственного ГОСТ VPN — сертифицированного средства криптографической защиты информации. Новую функциональность планируют встроить в межсетевые экраны UserGate NGFW. О планах рассказали на конференции UserGate Open Conf 2026.

Ранее в линейке компании не было собственного решения для шифрования трафика, которое соответствовало бы требованиям российских регуляторов — в частности, для организаций, работающих с объектами критической информационной инфраструктуры.

В середине 2025 года вендор решил закрыть этот пробел и добавить поддержку ГОСТ VPN как отдельную опцию в NGFW.

Новый функционал ориентирован на организации, которым важно соответствие требованиям законодательства: это госструктуры, компании с КИИ, а также те, кто работает с персональными данными и защищёнными каналами связи.

ГОСТ VPN не будет включён «по умолчанию». Его придётся отдельно указывать при покупке NGFW — это связано с подготовкой документации и необходимостью соответствовать требованиям к сертифицированным СКЗИ.

При этом в компании заявляют, что в будущем планируют добавить эту функциональность и в уже установленные решения, но порядок доработки придётся согласовывать с регуляторами.

Сейчас техническое задание на разработку уже согласовано. Дальше план такой:

осень 2026 года — старт пилотных внедрений и альфа-тестирования;
2027 год — полноценный запуск решения.

Фактически речь идёт о попытке объединить в одном продукте NGFW и сертифицированное средство криптографической защиты. Сейчас такие задачи часто решаются за счёт комбинации разных продуктов, что усложняет внедрение и интеграцию.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!