Ботнет из Linux-серверов

    Независимый специалист по безопасности Денис Синегубко из Магнитогорска обнаружил в Сети уникальный ботнет, состоящий из Linux-серверов. О своей находке Денис рассказал в интервью британской газете The Register.

    Каждый узел этого ботнета представляет собой рабочий веб-сервер, на котором крутится какой-нибудь обычный веб-сайт. Но кроме основного сервера Apache, работающего через порт 80, там есть и второй веб-сервер nginx, который занимается рассылкой спама и вредоносного ПО через порт 8080.

    Создание ботнета из веб-серверов — это мечта любого спамера: широкие каналы, мощное железо, 100% аптайм всех зомби круглые сутки, что может быть удобнее? Собственно, появление такого «идеального ботнета» давно предсказывали специалисты, наконец это произошло.

    Распознать зомби-сервер можно по такому коду на веб-странице.

    <i_frame src="http ://a86x . homeunix . org:8080/ts/in.cgi?open2" width=997 height=0 style="visibility: hidden">

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 96

      +10
      уволить админов этих серверов — и дело с концом…
        –35
        под линукс нет вирусов!
          +3
          Сначала бы неплохо матчасть изучить, а потом уже комментарии писать
            0
            Это верно.Не объясните часом, как веб сервер nginx может рассылать спам?
            • UFO just landed and posted this here
            0
            а обновления какого хрена выпускаются?
              +2
              это все чтобы пользователям винды было легче перейти
                –3
                Ну ну)
              +3
              Опенсоурс ПО — это хорошо, а не идеально…
              • UFO just landed and posted this here
                • UFO just landed and posted this here
                  +2
                  Не совсем понятно ифрейм ссылается на собственный сервер?
                    0
                    Нет всё на разных серверах. iframe'ы вставляют на страницы хакнутых сайтов. А этот iframe уже ссылается на сервер, контролируемый хакерами, откуда, после ряда редиректов, происходит загрузка вредоносных кодов.
                    +7
                    сколько машин-то? поди просто порутанные вручную сервера. так что о серьезном ботнете речи не идет.
                      0
                      Ну тогда странно, что говорится именно об apache и linux. Может быть работают боты, использующие связку 0-day эксплоитов под апач и линукс? Тогда масштабы могут быть действительно большие.
                        +3
                        It just occurred to me that hackers may simple have root passwords from those hacked servers.


                        Так и есть. А Денису респект — неплохо пропиарился! :)
                          0
                          небось его рук дело ;))
                          +1
                          Ко мне постоянно ломятся друзья вот с этих адресов (пытаются подобрать пароль для отключенного пользователя root): 88.84.133.135, 201.134.103.165, 84.45.186.234, 82.196.72.120, 125.46.54.247, 213.17.171.187, 69.147.241.226, 218.32.80.168, 92.48.112.75, 83.98.212.150, 200.49.68.110, 122.70.146.252, 217.151.150.146, 64.237.60.79, 195.144.192.158, 206.246.140.191, 66.135.59.137, 203.109.69.172, 119.70.132.135, 211.155.227.18, 75.125.127.210, 77.120.116.47, 149.217.72.19, 202.88.239.147, 202.117.56.29, 207.3.148.126, 125.17.114.243, 203.145.172.175, 213.99.38.3, 222.109.206.50, 70.33.245.232, 69.162.125.26, 221.132.73.156, 60.162.123.140, 221.238.249.83, 222.85.67.243, 92.45.8.146, 67.23.29.33, 69.197.161.80, 129.82.147.198
                          Каждые пару дней появляется новый адрес. Это либо пользователи со static-ip либо сервера.
                            0
                            Ко мне тоже ломились и подбирали пароли, но не только к руту и к другим стандартным пользователям.
                            Но теперь вроде успокоились :)
                          +21
                          Поиск по гуглу этой самой строки ничего не дал кроме ссылок на копипасту этой статьи

                          И еще — я что то, наверное, совсем отстал от жизни, но фак мой мозг, что значит фраза «занимался рассылкой спама и вредоносного ПО через порт 8080.»

                          Сервер _слушает_ на порту 8080. Слу_Ша_Ет. Какое это отношение имет к тому, чтобы что то рассылать? Чтобы что то отослать, требуется к чему-то приконнектится. Я что то совсем нихрена не понял по итогам этой статьи.

                            +10
                            придумано в MS дабы опорочить честь Linux.=)))
                              +6
                              На самом деле как я вижу всё намного опроще, чем драматургировано в статье. Вирусы под винду, которые воруют сохранённые в фтп-клиентах пароли и залазят на фтп, известны уже несколько лет. Там они прописывают в тело индексных страниц ифрейм, через который уже другие пользователи заражаются бякой.

                              Если это так, то ботнет из линукс-серверов это притянутое за уши понятие, ибо упор идёт на вирусы под винду.
                                +9
                                xxx: Настоящий программер-линуксоид пишет и для линукса и для винды.
                                ххх: Спросите что же он пишет для винды?
                                ххх: Конечно вирусы. :)
                                  +1
                                  Именно так и есть. Много раз сталкивался.

                                  На самом деле ботнет из клиентов этих веб серверов. :)
                                    –1
                                    Ага и nginx ставят тоже по ftp, наверное.
                                      +2
                                      Я на свой тестовый сервак словил такую хрень. Работает так:
                                      -простукивает ssh
                                      -брутфорсом подбирает пароль на него (у меня пароль был автогенерирован, на 10 символов)
                                      -потом ломится внутрь и запускает демон, который во все html, php файлы пишет iframe адресов, кстати несколько, а также рассылает спам и также брутфорсом пытается подобрать пароли к другим сервакам (кстати держит себя в папке с названием из пробелов).

                                      Прошу не пинать, что я тупой и надо грамотнее администрировать сервер — я не администратор, денег на администратора нет, а сервера нужныю

                                      Как защищался я
                                      — ssh только по ключу (запретить авторизацию по паролю)
                                      — изменить порт ssh
                                      -запретить авторизацию root
                                      — еще есть прикольная програмка ip2ban
                                      две недели ничего плохого на сервере не творится, логи чисты
                                        +1
                                        Неужели реально пробрутить пароль из 10 символов разного регистра со знаками препинания?
                                          0
                                          я сам был в шоке. лог 20Гб, на сервер забивал всего на 2 месяца
                                            0
                                            ну в смысле не использовал его
                                              +1
                                              Я бы предложил все упростить: сделать возможность повторного ввода пароля на сервер раз секунд в 5… и оттянуть момент подбора в глубину времен :) Ну а после 1000 неправильных вариантов — бан ip.
                                              Я не как администратор, а как программист это предлагаю. Наверняка есть такие реализованные решения.
                                                0
                                                sshguard
                                        0
                                        На 8080 стоит уязвимый веб-сервер (напр., backend-сервер, который забыли закрыть), через который на машину устанавливают спам-бот (который рассылает спам через 25й порт, как и положено). Или сам этот веб-сервер тоже подсажен вместе с ботом для работы в качестве командной оболочки — ну вместо телнета, т.к. коннекты к телнет/ssh-портам часто либо закрыты, либо ограничены доверенной сетью. Или просто потому что новому поколению хакеров веб-интерейс ближе телнета :)
                                          0
                                          Про спам тут просто неверный перевод.

                                          В статье написано, что если хакерам удалось установить вебсервер, то технически нет никаких преград заставить взломанный сервер (не nginx) заниматься и прочей деятельностью, присущей классическим ботнетам, как то рассылкой спама, DDOS атаками, и т.д. Однако в настоящий момент этому нет никаких подтверждений.
                                          0
                                          Ддосы с серверных ботнетов я уже получал. Хороший хостер спас.
                                            –28
                                            линукскапец близок
                                              +5
                                              Чушь, все проблемы из-за ленивости и халатности (можно сказать преступной) администраторов этих серверов.

                                              Главная уязвимость компьютера — это его оператор, ну и сервера, увы, админ.
                                                +2
                                                1 коммент и такой плохой.
                                                  +4
                                                  это холивар бот =)
                                                    +2
                                                    из холивар линукс-ботнета? :)
                                                0
                                                Что-то не совсем понятно, каким образом веб-сервера заражаются, и что этот ботнет в принципе делает.
                                                  0
                                                  Насколько мне известно под заражение попали те сервера на которых был nginx и все «зомби» заражались вручную.
                                                    0
                                                    Т.е. ничего по сути не поменялось — как заражали вручную, так вручную и заражают. Как в баяне про молдавский вирус:-) (http://www.server.md/forum/viewtopic/1099/forum/24/)
                                              • UFO just landed and posted this here
                                                  +2
                                                  Ботнет на ксен это сильно :) паразитная виртаульная машина.
                                                  • UFO just landed and posted this here
                                                      0
                                                      Я имею ввиду дыры в самом ксен.
                                                      • UFO just landed and posted this here
                                                      +3
                                                      Или в случае с openVZ заголовки «Паразитный контейнер самопроизвольно мигрирует с копированием на все обнаруженные openVZ системы, создавая огромный кластер на базе VPS для рассылки спама» ололо…
                                                        +1
                                                        Хотя сижу и думаю, почему я про опенВЗ именно — хз )
                                                    +3
                                                    Если хоть иногда загалдывать в /va/log/messages то можно увидеть тасячи коннектов по ssh, у меня иногда было несколько десятков в минуту. Так что превед админам с паролем 111 и юзерами test test в группе wheel.
                                                      +1
                                                      от таких лишних коннектов спасает нестандартный порт sshd
                                                      но пароль — да, на стойкость проверять надо, а лучше вообще запретить авторизацию по паролю извне — ключики ведь есть
                                                        0
                                                        Ну просканить порты тоже просканят :) Я думаю самое лучшее это запретить вход руту и иметь нетривиальные пароли для юзеров. Ну ещё кикстарт можно.
                                                          0
                                                          уж лучше тогда 2 ssh, один на 22м, с отключенным PAM нахрен. Второй — уже где хочется (тока не на 8022, боже упаси). Чтоб не разозлить никого ненароком =).
                                                            0
                                                            кстати хорошая идея — причем на 22 лучше вешать какой-нить stateless-иммитатор sshd чтобы при скане ресурсов меньше потреблял, чем настоящий демон
                                                              0
                                                              ну это уже, имхо, экономия на спичках =). Всего-то нужно поставить в этом ssh на 22-м порту авторизацию только по внешнему ключу и всё. Стукнутся разок, вздохнут и оставят в покое.
                                                                +1
                                                                Да, для 99% случаев этого более чем достаточно.

                                                                На моих серверах порт существенно нестандартный, плюс отсутствие стандартного приглашения sshd чтоб при скане не палился, а на 22м вообще ничего не висит — логи радуют отсутствием лишних записей :)
                                                                  0
                                                                  Вы не в курсе, не существует ли эдакого интернет-проекта четкого сборника советов позиционированных по двум плоскостям «что защищать» и «от чего защищать» (иными словами — не просто список советов, а вот примерно в такой ипостаси)? И для linux/bsd в целом и для популярных технологий (тот же php или python для сайтов) в частности?

                                                                  Наверное, понятно какая идея мне пришла в голову =) Я уже подзапарился вспоминать иногда древние уловки — а так хоть структуировать получилось бы. И обсудить, само собой…
                                                                    +5
                                                                    Навскидку — не припомню, но действительно полезно было бы. Важно только чтобы в таком проекте был жесткий механизм отбора советов — базовых ведь довольно немного, и уже в рамках одного совета можно примеры использования выкладывать.
                                                                    Например тут — совет выглядит как «хочешь что-то спрятать — положи в другом месте и замаскируй»

                                                                    Вспомнилось:
                                                                    шутливая картинка на тему стандартных расположений и защиты
                                                                      0
                                                                      ну начинаться должно все равно с четкого совета «спрячьте ssh». А там уж способы. Ибо моё мнение — такое делать надо вообще на любом сервере в принципе, по крайней мере там, где авторизация не только по внешним ключам.

                                                                      Там же и советы от ddos-а можно было бы, а то нынче эта тема уж больно популярна.

                                                                      Главное — четкая каталогизация, чтобы вместо того чтобы рыскать в поисках защиты штуки ИКС, можно было бы поглядеть например по тегам программ и все.

                                                                      В принципе, на первых порах это может быть просто mediawiki, хоть там и жутко неудобно обсуждать. Чешу репу =). Одна из немногих вещей, которые хочется сделать для собственного удобства, а не для $$.
                                                                        0
                                                                        Вот так и рождаются стартапы :)
                                                                        Главное — хорошо продумать навигацию и юзабилити, тогда должно получиться жизнеспособно
                                                                        0
                                                                        а картинка — да… хотя если когда-то у меня были печальные эмоции по этому поводу, потом слегка насмешливые… то теперь… сочувствие лишь наверное =).
                                                            +5
                                                            -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --update --seconds 30 -j DROP
                                                            -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --set -j ACCEPT

                                                            пара строк в файерволе, и перебор паролей идет лесом.

                                                            PS. В кратце — коннект на 22 порт не чаще чем раз в 30 секунд, если чаще — бан с обнулением времени таймера при каждой следующей попытке.
                                                              0
                                                              Это первое дело что надо сделать :)
                                                              0
                                                              denyhosts помогает — блочит черере /etc/host.deny такие брутфорсящие адреса
                                                                0
                                                                глупо ставить denyhosts если у юзера пароль 111 ;). То есть если ставишь denyhosts, то это уже априори означает что ты хочешь не спастись от брутфорса, а просто забанить паразитные попытки, может, чтобы в логах на маячили. Ибо раз уж ставишь denyhosts, то явно перед этим все пароли сделал аццкими.
                                                                0
                                                                да тут вся статья «привет админам». Как можно nginx не заметить? =)
                                                                  0
                                                                  А вы пробовали когда-нибудь администрировать больше 100 серверов в одно лицо? :)
                                                                    0
                                                                    пробовал и пробую. И тем более — если это ферма из одинаковых серверов, то даже разный ps на 1 из серверов — уже повод бить тревогу. А способов запустить что то на 100 серверах сразу — великое множество, сами знаете.

                                                                    момент номер два — я когда то 40 серверов обслуживал — обновлял ядра каждые 2 дня на 1 сервере (т.е. вся ферма — за 80 дней). Иногда чуть больше, но четко не меньше. Обновление такое явно делается руками (gentoo) с пересборкой самого ядра. Ну и фоном пока собиралось — пробежаться глазами по логам и тп… и всё =)
                                                                      0
                                                                      а если работать не универсалом, а конкретно админом, то, я думаю, больше десятка серверов в день можно руками анализировать на предмет аномалий. нет?
                                                                        +1
                                                                        Ферма — это хорошо :) Но бывает и зоопарк, в общем разные случаи бывают — где-то сервер затерялся, где-то админа грузят по полной и не дают ему нормально все сделать и т.п.
                                                                        А конкретный админ — да, обязан с утра не к кофе тянуться, а к логам :) Ну, и когда серверов полно, то всяко выделенный лог-сервер нужно иметь хотя бы на authpriv.*
                                                                      0
                                                                      переименовать в ./bla-bla-bla и запустить. Чтобы открыть 8080 порт админских прав не требо.
                                                                        0
                                                                        блин ну я понимаю в windows можно не заметить что-то. Но в linux-то как!? Хотя может это мое собственное ощущение — я гентушник, а если систему собираешь сам, то любые касяки/левые процессы видишь моментально. Я уж не говорю что каждый раз механически поглядываю в netstat -lntp ещё со времен россказней про «первый вирус под linux!».
                                                                          0
                                                                          это не относится к админам с паролем test :)
                                                                            0
                                                                            true.

                                                                            ну вот ещё один пунтктик в admin competency matrix xD
                                                                            0
                                                                            Ну, у нас ловился руткит, который ставил модифицированные либы, которые маскировали его процесс. То есть набираешь ps ax, а там всё чисто. А вообще везде всё чисто. А посмотришь в /proc…
                                                                      +2
                                                                      В оригинальной статье «который занимается рассылкой спама и вредоносного ПО через порт 8080» по ходу отсутствует. Там сказано «кто знает, чем может заниматься этот ботнет? может рассылкой спама, а может и распространением вредоносного ПО».
                                                                      Да и сама англицкая статья не блещет техническими точностями. Для компиляции софта рутовые права совсем не нужны, как и для того, чтобы подвеситься слушать порт 8080.
                                                                        –12
                                                                        Интересно, после этого все равно найдутся малолетние 'энтузиасты', которые будут надрываться про то, что «на линуксе вирусов нет по определению», а значит защищаться им не нужно?
                                                                          0
                                                                          есть сайт spectehinka.lg.ua/forum — там чо то сидит внизу — не могу выкорчевывать… в коде страницы этого нет (гляжу через фтп)… а при отдаче по апачу — есть… нид хелп, уже хз чо делать, сайтовики говорят ставь каспера, но мну нельзя, есть лицензионный нод, да и авз и карытом проверил — ничо нету…
                                                                            0
                                                                            фейл в ссылке — правильная spectehnika.lg.ua/forum
                                                                              0
                                                                              в форумах ввставлять могут не только в индекс файлы или шаблоны, а еще и в SQL базу, благо у многих формов там шаблоны и храняться…
                                                                                0
                                                                                посмотрите phpinfo — директиву auto_append_file
                                                                              0
                                                                              Да с чего вы вообще взяли что это боты? а может просто взломали в конец нужных файлов автоматизированно добавил нужный фрейм и всё, причём тут ваще боты и фреймы ?, ты ни как серверу не прикажешь вконец вывода потока добавлять фрейм, что за глупости?

                                                                              Меня вот то же как один хостер обозвал самым крупным червём, но делал то я всё ручками.
                                                                                +1
                                                                                Прозреваю флейм на пару сотен комментов минимум, с участием в основном тех, кто не прочитал ничего кроме самой «новости» (с изрядной долей тех, кто не прочитал ничего кроме заголовка :))
                                                                                  +12
                                                                                  Передайте Денису Синегубко, что он вообще нихрена не в теме. Топикстартер, кстати, тоже.
                                                                                  Реальная ситуация:
                                                                                  1) размещаются или заражаются несколько сайтов, путем внедрения iframe кода.
                                                                                  2) с подгрузкой содержимого iframe подгружается вредоносный код — буквально 2 недели назад и последняя версия firefox его пропускала
                                                                                  3) загруженная на машину жертвы программа ворует пароли к ftp или с firefox, или с filezilla, или с keepass (маловероятно) — откуда именно, так и не разобрался
                                                                                  4) и отдает пароли хозяину
                                                                                  5) хозяйская машина лезет на все хосты, от которых у нее есть пароли
                                                                                  6) в случае удачи соединения, рекурсивно открывает файлы index.php, index.html и еще некоторые по шаблону встраивая туда iframe код и сохраняя
                                                                                  7) зараженный сайт начинает заражать компьютеры посетителей
                                                                                  8) goto п. 1

                                                                                  Ахринительно опасная вещь.
                                                                                    0
                                                                                    подтверждаю.

                                                                                    только добавлю, что под линуксом п.2 не работал ну и следовательно вся цепочка обламывалась.
                                                                                    но так как была одна виндовая машина, то заразились и вычищали эту бяку долго.
                                                                                    0
                                                                                    Это всё проделки Балмера!
                                                                                      0
                                                                                      Насколько я понимаю, речь идёт об этой схеме работы images.kaspersky.com/ru/vlill/golov_spambot0909_pic11.png. Рядом лежит описание www.securelist.com/ru/analysis/208050559/Fabrika_nazhivy
                                                                                        +2
                                                                                        На самом деле серверы взламываются, заливаются различного рода программки, которые и занимаются тем, чем им «прикажут» их владельцы.

                                                                                        Не далее как месяц назад хороший товарищ попросил проверить сервер на наличии вредоносного ПО — хостер ругался на паразитный трафик. Чего я там только не нашел… начиная шелом на php, заканчивая могучими и тяжеловесными бинарниками, которые рассылали спам, долбили кого-то по 22 порту, флудили на 80 порты как минимум 20 (!!!) серверов. Но это все равно не повод на мой взгляд объявлять о появлении «Linux- ботнетов». Такой ботнет существовал всегда — сколько не внимательных и не особо грамотных администраторов, столько и зомби, причем не важно — сервер это, или простая персоналка под управлением не важно чего.
                                                                                          +1
                                                                                          Но nginx рассылающий спам — этого я еще не видел ;)
                                                                                          0
                                                                                          теперь можно ещё написать демона который будет проверять наличие таких строк в файлах на хостинге и создать фирму по обновлению базы таких ссылок =)
                                                                                            0
                                                                                            Польщает выбор nginx :)
                                                                                              0
                                                                                              польщает, но не очень логичен. Как совсем жесткая атака — можно было бы модуль ядра написать с http-модулем +))))))) Вот уж действительно даже в голову не придёт, что какой-то левый модуль загружен. А скрыться от netstat или ps при этом — расплюнуть.
                                                                                                0
                                                                                                Ммм, кстати хорошая мысль для размышления. Многие хостеры порой не отключают даже дефолтные модули, так что при взломе вставить еще один и ничего больше не делать — отличный вариант!
                                                                                              0
                                                                                              Так и не ответили сколько машин в ботнете!
                                                                                              Интересно, есть ли ботнеты, у которых есть модули для Линукса и Винды? Чтобы бить со всех сторон.
                                                                                              • UFO just landed and posted this here

                                                                                                Only users with full accounts can post comments. Log in, please.