Обнаружен Linux-ботнет, использующийся для совершения широкомасштабных DDoS-атак
🕛 13.09.2014, 08:33
Ботнет заражал Linux-серверы, использующие уязвимые версии Apache Tomcat, Apache Struts и Elasticsearch. Эксперты компании Akamai-Prolexic обнаружили ботнет, известный под названиями IptabLes и IptabLex. Он использовался для осуществления DDoS-атак на DNS-серверы и прочие объекты сетевой инфраструктуры. Жертвами ботнета становились неверно настроенные Linux-серверы.
По словам специалистов, во втором квартале 2014 года команда Prolexic обнаружила ботнет, проводящий DDoS-атаки с помощью DNS- и SYN-флуда. Атаки выполнялись через скомпрометированные серверы, использующие уязвимые версии Apache Struts, Apache Tomcat и Elasticsearch.
После заражения сервера ботнет получает корневые права и ожидает получения команд от C&C-сервера. Эксперты обнаружили, что вредоносное ПО использовало два неизменяемых IP-адреса.
Специалисты Akamai советуют администраторам Linux-серверов установить последние обновления и изменить настройки безопасности. Они отмечают, что ранее такие серверы не использовались в проведении DDoS-атак.
Антивирусы неспособны справиться с новой угрозой. В настоящее время ботнет детектируется лишь 23 из 52 антивирусов.
Для того чтобы очистить зараженную систему от вируса, администраторам требуется выполнить несколько bash-команд:
sudo find / -type f –name ‘.*ptabLe*’ – exec rm –f {} ‘;’
ps –axu | awk ‘/\.IptabLe/ {print $2}’ | sudo xargs kill -9
Затем необходимо перезагрузить систему и выполнить детальную проверку.