nixp.ru v3.0

22 декабря 2024,
воскресенье,
11:38:04 MSK

22 июля 2014, 18:26

Вредоносное ПО Mayhem заразило веб-серверы на Linux и FreeBSD

2
Панель управления ботнетом Mayhem
Панель управления ботнетом Mayhem
Иллюстрация с сайта Virusbtn.Com

Группа специалистов из Яндекса выявила и обнародовала информацию о новом вредоносном ПО — Mayhem — для Linux и FreeBSD, работающем аналогично Windows-ботам, но без повышения привилегий.

Андрей Ковалёв, Константин Острашкевич и Евгений Сидоров отследили передачу данных от около 1400 заражённых машин на два управляющих ботнетом сервера. Предполагается, что заражению подверглось гораздо большее количество машин. Данная информация была опубликована на Virus Bulletin.

Mayhem методом PHP-инъекций и эксплуатируя другие уязвимости загружает на сервер специальный PHP-скрипт, который размещает на взломанной системе разделяемую библиотеку libworker.so. Затем на инфицированной системе создаётся скрытая файловая система, обычно называемая sd0, на которой размещаются 8 плагинов, среди которых, например, утилита по перебору паролей для FTP.

Ботнеты на базе веб-серверов используются для переброса трафика, применения нечестных методов поисковой оптимизации (black SEO) и организации атак. Среди причин столь массового заражения называются высокая стоимость сопровождения и обновления сайтов, отсутствие автоматического обновления ПО и веб-приложений, а также отсутствие практики у администраторов использования антивирусов и других программ защиты системы.

Постоянная ссылка к новости: http://www.nixp.ru/news/12639.html. Никита Лялин по материалам theregister.co.uk, Anti-malware.Ru.

fb twitter vk
Читайте также в новостях:
Филипп Корвин

Как проверить защищенность сервера от этого?

defender

Я, конечно, не знаю, но чтобы поймать ЭТО, надо открыть все, что только возможно, и еще «призывно вилять задом», да простят мне сие выражение… И уязвимость то не Linux  или FreeBSD, а сайтов… Вернее, кривая настройка веб-сервера. Ну не могу представить, чтобы веб-серверу дали право создавать «скрытую файловую систему, называемая sd0». Это что за бред? Да блин, TPM решает все эти проблемы: в директорию, где лежит исполняемый файл или разделяемая библиотека, может писать кто-то, отличный от рута? Болт вам, а не выполнение в таком случае.

Да и вообще, все это какая-то ересь… Практика использования антивирусов… Что, линух начал ощутимо отъедать рынок у производителей антивирусов? Не надо на всякий бред реагировать. На заборе что написано? Девки кинулись, а там дрова лежат…

fhunter

Скрытая файловая система — там было написано, используется userspace библиотека, которая создаёт файл и в нём держит файловую систему. На Virus Bulletin было написано.

sashakrasnoyarsk.ru

Начинают сбываться худшие прогнозы, что скоро вирусы будут на всём, что позволяет исполнять любой код в любом виде и получать/передавать информацию.

fhunter

Поправка — на всём, где процветает индокодерство и раздолбайство.

Вирусы на андроид в 90% случаев результат того что не смотрят в требуемые права для приложения. «ай, я хочу эту игрушку. не знаю зачем ей право посылать смски, но всё равно хочу». Ну и google к этому руку приложил.

А так — пришли виндовые программисты и началось :). «Что? от рута нельзя работать? Но ведь в windows от администратора — можно?»

Из живых примеров с работы — «оптимистичный код — кусок из где-то 20 системных вызовов без единой проверки результата выполнения», а что оно же работает, да?

sashakrasnoyarsk.ru

Ставишь и настраиваешь LBE Security. Нет проблем.