Бесплатно Экспресс-аудит сайта:

13.09.2014

Обнаружен Linux-ботнет, использующийся для совершения широкомасштабных DDoS-атак

Эксперты компании Akamai-Prolexic обнаружили ботнет, известный под названиями IptabLes и IptabLex. Он использовался для осуществления DDoS-атак на DNS-серверы и прочие объекты сетевой инфраструктуры. Жертвами ботнета становились неверно настроенные Linux-серверы.

По словам специалистов, во втором квартале 2014 года команда Prolexic обнаружила ботнет, проводящий DDoS-атаки с помощью DNS- и SYN-флуда. Атаки выполнялись через скомпрометированные серверы, использующие уязвимые версии Apache Struts, Apache Tomcat и Elasticsearch.

После заражения сервера ботнет получает корневые права и ожидает получения команд от C&C-сервера. Эксперты обнаружили, что вредоносное ПО использовало два неизменяемых IP-адреса.

Специалисты Akamai советуют администраторам Linux-серверов установить последние обновления и изменить настройки безопасности. Они отмечают, что ранее такие серверы не использовались в проведении DDoS-атак.

Антивирусы неспособны справиться с новой угрозой. В настоящее время ботнет детектируется лишь 23 из 52 антивирусов.

Для того чтобы очистить зараженную систему от вируса, администраторам требуется выполнить несколько bash-команд:

sudo find / -type f –name ‘.*ptabLe*’ – exec rm –f {} ‘;’

ps –axu | awk ‘/.IptabLe/ {print $2}’ | sudo xargs kill -9

Затем необходимо перезагрузить систему и выполнить детальную проверку.

С отчетом Prolexic можно ознакомиться  здесь .