The Power of One e-book: Principais razões para escolher o HP BladeSystem
Malware apelidado Mayhem está se espalhando através de servidores web Linux e FreeBSD, dizem os pesquisadores. O software desagradável usa um saco de plugins para causar o mal, e infecta sistemas que não estão em dia com os patches de segurança.
Andrej Kovalev, Konstantin Ostrashkevich e Evgeny Sidorov, que trabalham no portal de internet russo Yandex, descobriu o malware visando * nix servidores. Eles rastrearam as transmissões a partir de computadores comprometidos para dois comando e controle (C & C) servidores. Até agora, eles encontraram 1.400 máquinas que caíram ao código, com potencialmente milhares mais para vir.
"No mundo nix o *, as tecnologias de atualização automática não são amplamente utilizados, especialmente em comparação com desktops e smartphones. A grande maioria dos mestres da web e administradores de sistemas tem que atualizar o software manualmente e teste que sua infra-estrutura funciona corretamente", escreveu o trio em um relatório técnico para Virus Bulletin.
"Para sites comuns, manutenção sério é muito caro e muitas vezes webmasters não tem a oportunidade de fazê-lo. Isto significa que é fácil para hackers para encontrar servidores web vulneráveis e usar esses servidores em suas botnets".
Mayhem espalha por encontrar servidores que hospedam sites com um arquivo de inclusão remota (RFI) vulnerabilidade - ele ainda usa o Google / humans.txt para testar isso. Se o gigante anúncio reescreveu este arquivo, alterando especificamente as palavras "nós pode agitar", as infecções Mayhem seria parado em suas trilhas.
Uma vez que o malware explora uma RFI para executar um script PHP em uma vítima, ele deixa cair um objeto compartilhado chamado libworker.so no sistema infectado e pings seus servidores C & C.
Em seguida, cria um sistema de arquivo oculto, normalmente chamado sd0 e downloads de oito plugins, nenhum dos que foram apanhados pela ferramenta de verificação de malware VirusTotal.
Estes incluem um par de crackers de senhas força bruta para contas de FTP e Wordpress, e crawlers de coleta de informações (um dos quais caças para outros sites com buracos RFI).
Alguns dos scans aplicações web Mayhem vulneráveis para ... Clique para a versão um pouco maior (Crédito: Kovalev, Otrashkevich, Sidorov)
O trio Yandex alertam que pode haver outros plugins em circulação, com base em dados encontrados nos dois rachados servidores C & C. Estes incluem uma ferramenta especificamente para explorar sistemas que não foram corrigidas a vulnerabilidade Heartbleed em OpenSSL.
A equipe observa que o código Mayhem não suportar várias semelhanças com as famílias Trololo_mod e derrame de malware, que têm como alvo os servidores Apache e Nginx respectivamente. Eles recomendam os administradores do sistema verificar os seus servidores para fazer propagação certeza de Mayhem é limitado. ®
Nenhum comentário:
Postar um comentário