Primera botnet de linux webservers

Hacía unos días que venia con ganas de hacer una nota sobre lo que había leído en The Register acerca de la botnet encontrada basada en linux webservers, y acá está.

Sinegubko, quién hizo el hallazgo, escribe en su blog que hasta ahora cada una de las máquinas infectadas está siendo usada como un dedicado para correr una web legítima, pero que lo que resalta acá es que lograron poder levantar otro segundo webserver basado en nginx, pero este sólo se dedica a servir malware. Los websites beningnos, por así decirlo, corren por el puerto 80, y el que reparte malware por el 8080. Lindo spread se mandaron estos chicos eh ;P

También descubrió que esa botnet estaba conectada a otra botnet de máquinas caseras. Y no fué el único con encontrarse con sorpresas, Symantec había reportado que Google Groups estaba siendo utilizado como medio de comunicación para un recién descubierto troyano, y un researcher de Arbor Networks descubrió un uso parecido para una botnet con perfiles de twitter.

Esta botnet que descubrieron, es bastante interesante, ya que el website maligno (8080), con la ayuda de dynamic dns y accesos necesarios, inyectan una porción de código en el website bueno (80). Cosa de estar navegando bien tranqui y terminar cargando algo a lo que nunca quisiste acceder.

Hacen estas inyecciones gracias a usuarios ftps robados, obtenidos sniffeando, ¿y ustedes se preguntaban qué carajo hacer con tantos logins ftps? Jaja, acá alguien encontró forma de darles uso.

En fin, lo más “preocupante” de todo, es que todavía no se ha descubierto qué vulnerabilidad están explotando, o qué otro medio de infección han descubierto, posiblemente en Apache.

Por el momento yo recomiendo no ser colgados y cuidarse a la hora de hacer un login, por más que sea ftp o http.