Denis Sinegubko, ricercatore russo che si occupa di sicurezza informatica, ha recentemente scoperto un gruppo di circa 100 Server Linux, infetti.
Una botnet, formata da web server infetti, ed interconnessi tra loro ad un centro di controllo comune, diffondeva malware attraverso pagine web legittime. Oltre al normale traffico sulla porta 80, gestito da Apache, questi server inviano dati malevoli attraverso la porta 8080, gestita da server nginx.
Alle classiche pagine venivano quindi aggiunti degli iframe che, sfruttando appositi servizi dns che offrono nomi dominio gratuiti, puntavano verso gli indirizzi IP dei Server infetti. Con estrema probabilità, la colpa è da attribuire agli amministratori, poco accorti nel custodire la password di root.
Secondo il ricercatore, l’attacco utilizza le password Ftp sottratte al fine di inserire il codice malevolo all’interno delle pagine, medesimo sistema a quello utilizzato per l’accesso ai server. DynDNS e No-IP hanno provveduto alla cancellazione dei nomi a dominio, che purtroppo non saranno gli unici nomi registrati.
Sinegubko suppone, con elevata probabilità, che il fenomeno sia una vera e propria prova generale di un imminente attacco informatico. Diverse le preoccupazioni di molti analisti, che parlano invece di un attacco mirato e facilitato dall’inesperienza degli amministratori del sistema.
I commenti sono chiusi.