22 июля 2014, 18:26

Вредоносное ПО Mayhem заразило веб-серверы на Linux и FreeBSD

Панель управления ботнетом Mayhem
Иллюстрация с сайта Virusbtn.Com

Группа специалистов из Яндекса выявила и обнародовала информацию о новом вредоносном ПО — Mayhem — для Linux и FreeBSD, работающем аналогично Windows-ботам, но без повышения привилегий.

Андрей Ковалёв, Константин Острашкевич и Евгений Сидоров отследили передачу данных от около 1400 заражённых машин на два управляющих ботнетом сервера. Предполагается, что заражению подверглось гораздо большее количество машин. Данная информация была опубликована на Virus Bulletin.

Mayhem методом PHP-инъекций и эксплуатируя другие уязвимости загружает на сервер специальный PHP-скрипт, который размещает на взломанной системе разделяемую библиотеку libworker.so. Затем на инфицированной системе создаётся скрытая файловая система, обычно называемая sd0, на которой размещаются 8 плагинов, среди которых, например, утилита по перебору паролей для FTP.

Ботнеты на базе веб-серверов используются для переброса трафика, применения нечестных методов поисковой оптимизации (black SEO) и организации атак. Среди причин столь массового заражения называются высокая стоимость сопровождения и обновления сайтов, отсутствие автоматического обновления ПО и веб-приложений, а также отсутствие практики у администраторов использования антивирусов и других программ защиты системы.

Постоянная ссылка к новости: http://www.nixp.ru/news/12639.html. Никита Лялин по материалам theregister.co.uk, Anti-malware.Ru.

FreeBSD, Linux, безопасность

Комментировать (6)

Читайте также в новостях:

Linux-ботнет «Mayhem» распространяется при помощи эксплоитов Shellshock 3-5 3 15 октября 2014 г.

Филипп Корвин 13:05, 23 июля 2014

Как проверить защищенность сервера от этого?

Ответить Цитировать

defender 14:47, 23 июля 2014

Я, конечно, не знаю, но чтобы поймать ЭТО, надо открыть все, что только возможно, и еще «призывно вилять задом», да простят мне сие выражение… И уязвимость то не Linux или FreeBSD, а сайтов… Вернее, кривая настройка веб-сервера. Ну не могу представить, чтобы веб-серверу дали право создавать «скрытую файловую систему, называемая sd0». Это что за бред? Да блин, TPM решает все эти проблемы: в директорию, где лежит исполняемый файл или разделяемая библиотека, может писать кто-то, отличный от рута? Болт вам, а не выполнение в таком случае.

Да и вообще, все это какая-то ересь… Практика использования антивирусов… Что, линух начал ощутимо отъедать рынок у производителей антивирусов? Не надо на всякий бред реагировать. На заборе что написано? Девки кинулись, а там дрова лежат…

Ответить Цитировать

fhunter 15:20, 23 июля 2014

Скрытая файловая система — там было написано, используется userspace библиотека, которая создаёт файл и в нём держит файловую систему. На Virus Bulletin было написано.

Ответить Цитировать

sashakrasnoyarsk.ru 04:22, 24 июля 2014

Начинают сбываться худшие прогнозы, что скоро вирусы будут на всём, что позволяет исполнять любой код в любом виде и получать/передавать информацию.

Ответить Цитировать

fhunter 14:18, 24 июля 2014

Поправка — на всём, где процветает индокодерство и раздолбайство.

Вирусы на андроид в 90% случаев результат того что не смотрят в требуемые права для приложения. «ай, я хочу эту игрушку. не знаю зачем ей право посылать смски, но всё равно хочу». Ну и google к этому руку приложил.

А так — пришли виндовые программисты и началось :). «Что? от рута нельзя работать? Но ведь в windows от администратора — можно?»

Из живых примеров с работы — «оптимистичный код — кусок из где-то 20 системных вызовов без единой проверки результата выполнения», а что оно же работает, да?