Linuxos webszerverekből álló botnetet fedeztek fel

Az elmúlt évek során a webes támadások leggyakoribb formáját a cross-site scripting (XSS) technikák adták, melyek egyik legelterjedtebb formája, mikor a legitim webszerverek tipikus biztonsági résein (alapállapotban hagyott jelszavak, előre elkészített exploitok) keresztül injektálnak a bűnözők egy rejtett IFRAME HTML blokkot, mely meghív egy távoli gépen található weboldalt vagy kódot, mely megtámadja a látogató számítógépét, és többnyire valamiféle férget vagy trójait igyekszik feltelepíteni rá a böngésző vagy az operációs rendszer egy sebezhetőségén keresztül.

A korábbi tapasztalatok alapján az ilyen XSS támadások egy vagy néhány, a bűnözők kezében lévő szerverre mutattak, melyekről letöltötték a támadó kódot, és melyeken keresztül koordinálták az eseményeket. Hogy megnehezítsék a biztonsági szakemberek és hatóságok felderítő munkáját, a támadók különféle dinamikus DNS/IP technikákat vetettek be, mint például egy algoritmus alapján generált domainek, és dinamikus DNS-ek használata, ahol az IP cím is folyamatosan változtatható. A sokféle domain és IP azonban tipikusan néhány fizikai számítógéphez vezetett.

A weboldalba ágyazott gyanús tartalmat ellenőrző szolgáltatást kifejlesztő Sinegubko vizsgálódása során azonban arra lett figyelmes, hogy az általa talált szkript harmadszintű dinamikus DNS szolgáltatásokon keresztül immár több tucat egyedi IP-re csatlakozik, melyek kivétel nélkül legitim weboldalakat kiszolgáló linuxos szerverek. A vizsgált szerverek Apache webszerver szoftvert futtattak a 80-as porton, emellett azonban a 8080-as porton a pehelykönnyű nginx webszerver figyelt, vagyis a támadók sikeresen telepítették azt a megtámadott gépre.

Ez azt jelenti, hogy a támadók sikeresen szerveztek egy linuxos szerveroldali botnetet, melynek szerepe kettős: elosztja a fertőzésekkel járó terhelést, és védelmi vonalat képez a bűnözők előtt. Ezen túlmenően további feladatokat is elláthatnak a zombivá tett Linux gépek, mint például spamelés vagy további támadások kivitelezése, amihez bőséges sávszélességekkel rendelkeznek. Eddig tipikusan Windows PC-kből szerveztek botneteket, a felfedezés azonban azt jelzi, hogy elképzelhető, új lehetőségek után néznek a bűnözők.

Hogy a linuxos gépeket hogyan sikerült feltörni, egyelőre nem tudni, Sinegubko gyanúja szerint a rendszergazdák hanyag jelszókezelése lehet a magyarázat, valószínűleg többen is az FTP-hez root belépőjüket használták, amit a bűnözők megszereztek, így hozzájutottak a Linux telepítés root felhasználójához, így már távoli shellt kell \"mindössze\" szerezniük - a nagy számok törvénye alapján ez minden bizonnyal számos alkalommal sikerül. Mindenesetre amennyiben Linux-webszervert felügyelünk, érdemes ellenőrizni a portokat és a futó folyamatokat, ha nem tesszük meg ezt rendszeresen.