Вредоносное ПО Mayhem заразило веб-серверы на Linux и FreeBSD
Группа специалистов из Яндекса выявила и обнародовала информацию о новом вредоносном ПО — Mayhem — для Linux и FreeBSD, работающем аналогично Windows-ботам, но без повышения привилегий.
Андрей Ковалёв, Константин Острашкевич и Евгений Сидоров отследили передачу данных от около 1400 заражённых машин на два управляющих ботнетом сервера. Предполагается, что заражению подверглось гораздо большее количество машин. Данная информация была опубликована на Virus Bulletin.
Mayhem методом PHP-инъекций и эксплуатируя другие уязвимости загружает на сервер специальный PHP-скрипт, который размещает на взломанной системе разделяемую библиотеку libworker.so. Затем на инфицированной системе создаётся скрытая файловая система, обычно называемая sd0, на которой размещаются 8 плагинов, среди которых, например, утилита по перебору паролей для FTP.
Ботнеты на базе веб-серверов используются для переброса трафика, применения нечестных методов поисковой оптимизации (black SEO) и организации атак. Среди причин столь массового заражения называются высокая стоимость сопровождения и обновления сайтов, отсутствие автоматического обновления ПО и веб-приложений, а также отсутствие практики у администраторов использования антивирусов и других программ защиты системы.
Автор: Никита Лялин по материалам theregister.co.uk, Anti-malware.Ru.
