Kāds drošības pētnieks ir atklājis virkni inficētu Linux serveru, kas ir apvienoti savdabīgā botu tīklā un tiek izmantoti, lai slepus piegādātu kaitīgo programmatūru interneta lietotājiem, ziņo The Register.
Visi līdz šim konstatētie inficētie serveri ir izdalītie vai virtuāli izdalītie serveri, kas mitina likumīgu tīmekļa vietni, The Register stāsta Deniss Siņegubko, neatkarīgais pētnieks no Magņitogorskas Krievijā. Bet tie ir uzlauzti, un līdz ar Apache tīmekļa serveri, kas mitina likumīgo saturu, tajos darbojas otrs tīmekļa serveris, kas pazīstams ar nosaukumu nginx, un tas mitina kaitīgās programmas.“Šeit mums ir darīšana ar “zombētu” tīmekļa serveru botu tīklu, kura parādīšanās jau sen tika prognozēta! Tā ir savstarpēji saistītu un inficētu tīmekļa serveru grupa ar kopīgu vadības centru, un tā nodarbojas ar kaitīgo programmu izplatīšanu,” saka Siņegubko. “Turklāt tīmekļa serveru botu tīkls ir saistīts ar inficētu mājas datoru botu tīklu.”
Atklājums liecina, ka botu tīklu uzturētāji un vadītāji pastāvīgi meklē jaunus veidus, kā dot komandas simt tūkstošiem inficēto jeb “zombēto” datoru, kurus viņi kontrolē. Inficētie datori, ko atradis Siņegubko, padod likumīgu datu plūsmu no standarta TCP porta 80, ko parasti izmanto tīmekļa vietnes. Bet tikmēr no porta 8080 slepus darbojas cits serveris, kas sūta kaitīgo trafiku. Kaitīgos datus tālāk piegādā, izmantojot dinamisko DNS mitināšanas pakalpojumu sniedzējus, kuri piedāvā bezmaksas domēnu vārdus, kas tiek piešķirti “zombēto” tīmekļa servera IP adresēm.
Šīs hipersaites ir apmēram tādas:
“Ir izdevīgāk, ja “zombēti” ir gan klienti, gan serveri,” raksta Siņegubko. “Neviendabīgā sistēmā ir daudz vairāk iespēju, šāda sistēma ir elastīgāka.”
Nav skaidrs, kādā veidā izdevies inficēt serverus. Siņegubko izvirza pieņēmumu, ka šiem serveriem varbūt ir bezrūpīgi administratori, kas pieļāvuši galvenās paroles nozagšanu. Daļā daudzpakāpju uzbrukumu, kuru nolūks ir ļaunprātīgu iframe ievietošana likumīgās tīmekļa lapās, tiešām izmanto FTP paroles, kas nozagtas, izmantojot paroles okšķerus. Iespējams, ka “zombēto” serveru inficēšanai izmantots tas pats paņēmiens, paskaidro Siņegubko.
Inficēto serveru tīkls nav īpaši liels, tajā ir tikai aptuveni 100 mezglu, tāpēc nav īsti skaidrs, kādi ir uzbrucēju nolūki. Siņegubko norāda, ka visos viņa pārbaudītajos datoros darbojas Apache tīmekļa serveris dažādās Linux operētājsistēmās.
“Iespējams, ka hakeriem tas ir sava veida proof-of-concept (konceptuālais kods). Vai arī viņiem rezervē ir vēl daudz citu uzlauztu serveru, kas gaida savu kārtu.” Siņegubko saka, ka līdz šim divi dinamisko mitināšanas pakalpojumu sniedzēji, DynDNS.com un No-IP.com, ko izmanto uzbrucēji, esot reaģējuši ļoti operatīvi un slēguši domēnus, kas izmantoti uzbrukumu veikšanai. Taču viņš norāda, ka ik stundu atklāj vienu vai divas jaunas IP adreses, tāpēc šī lieta vēl nebūt nav galā.
TVNET.LV
[...] Zombēti Linux Serveri izplata kaitīgo kodu. Posted on Septembris 16, 2009 by usins Atvērtās pasaules jaunumos izlasīju interesantu rakstu, kurš lika aizdomāties par Linux drošību un, galvenokārt, par to, kā cilvēki izvēlas glabāt savas root paroles. Lūk raksts. [...]
Nu admins ar līkām rokām arī OpenBSD mašīnu pamanīsies caurumainu sataisīt…
http://www.opennet.ru/opennews/art.shtml?num=23387 šeit ir papildus info
Vai tas ir kas īpašs, ka serveri ar SSH, ar viegli uzminamu root paroli un bez pakešu filtra var izmantot nevēlama softa ieinstalēšanai? Vinil, tas nav nekāds proof-of-concept, tas jau sen strādā. Atstāj savu mašīnu ar vaļējām durvīm un atslēgu aizdedzē uz mēnesi kādā kriminogēnā rajonā un tad brīnies!
Saprotams, ka šajā jūtīgajā laikā sliktas ziņas par Linux saujiņai cilvēku ir īpaši vērtīgas.
Mīļie cilvēki, nevajag visu uztvert tik neirotiski. Nekur nav teikts, ka paši admiņi apzināti ne-”nozombeja” tās kastes (runā, ka aiz botu tīkliem ir organizētā noziedzība, ta kā uzpirkšana vai šantāža ir pilnīgi iespējama).
Cik noprotu, rakstā īpaši izcelta Apache eksistence uz zombij-serviem, protams, tas ir populārs softs, tomēr izskatās, ka raksts drīzāk velk uz to, ka, iespējams(!), serveri uzlauzti caur Apache (es ļoti ceru, ka jūs neesat tik naivi un nedomājat, ka F/OSS ir brīvs no publiski nezināmām ievainojamībām).
Atgriežoties pie jūsu neirozēm (tehe ;P), neizlasīju oriģinālu, jo tas man vienkārši nav pa spēkam, taču vismaz augstāk redzamajā tulkojumā/kopsavilkumā nekas nav teikts par SSH vai līkrokainām konfigurācijām, tāpēc, lūdzu, ja vien skaidri neziniet, neizsakiet savus minējumus absolūtu patiesību veidā, vēl jo vairāk tad, ja viss, ko varat pateikt, ir “LINUX NEKAD NAV PIE VAINAS, NEVAINOJIET LINUX, VISPĀR WINDOWS S**Ā UN TIKAI PINGVĪNI IESPĀRDA” – tas tikai nāk par ļaunu mūsu, F/OSS lietotāju un atbalstītāju, reputācijai. Paldies par jūsu sapratni.
Dažām OS ievainojamība ir tik ierasta lieta, ka par to vairs pat necenšas runāt…