Обнаружен новый ботнет для DDoS-атак на базе веб-серверов под Linux, зараженных с «IptabLes»

Значительная часть DDoS-атак во втором квартале 2014 года была осуществлено с заражённых веб-серверов под управлением Linux-систем.

Такое заключение было сделано по результатам отчёта команды Prolexic Security Engineering & Research Team из компании Akamai. Веб-серверы Linux были скомпрометированы и инфицированы вредоносным ПО под названием IptabLes и IptabLex. Ведущий аналитик команды Грег Линдор (Greg Lindor) сообщил журналу SCMagazine.com о том, что угроза со стороны этого вредоносного программного обеспечения увеличивается. «Эта угроза используется, чтобы принять участие в DDoS-кампаниях со значительными размерами и масштабами», — говорит он.

Схема построения DDoS-атак / Иллюстрация с сайта Supportsages.Com

Исследователи следят за атаками и производят необходимые измерения, при этом отмечают, что ПО эксплуатирует уязвимости в Apache Struts, Tomcat и Elasticsearch, на неподдерживаемых серверах. Такое поведение «зловреда» называют нетипичным — обычно крупные ботнеты строятся по принципу наименьшего сопротивления и не нацелены на Linux-системы. IptabLes или IptabLex обнаруживается в каталоге /boot и запускает бинарный файл .IptabLes при загрузке. Затем инфицированная система связывается с удалённым хостом и загружает файл обновления. В остальном вредоносное ПО повторяет сценарии построения других ботнетов.

Командные центры ботнетов находятся в Азии, наибольшее количество зараженных серверов находятся в РоSSии и США. Специалисты отмечают, что рост инфицированных машин продолжится в ближайшее время. Противодействием является обновление компонентов веб-серверов и правильная конфигурация систем.

Автор: Никита Лялин по материалам Scmagazine.Com.