первый ботнет из веб-серверов

[sash-kan]

нашим соотечественником из магнитогорска Денисом Синегубко обнаружен ботнет, состоящий из примерно сотни веб-серверов.

http://bugtraq.ru/rsn/archive/2009/09/04.html
http://blog.unmaskparasites.com/2009/09/11...ie-web-servers/
http://www.theregister.co.uk/2009/09/12/li...s_push_malware/
http://linux.slashdot.org/story/09/09/12/1...overed?from=rss

чем именно они занимаются, пока не известно. но вряд ли поиском внеземных цивилизаций.

p.s. если у вас есть веб-сервер, проверьте, не слушает ли он порт 8080. без вашего ведома, естественно.

[Tokra]

Что-то форумчане не спешат обсуждать эту новость

[Mammoth]

Обошло мимо

[Bluetooth]

Что-то форумчане не спешат обсуждать эту новость

Ну, а что тут можно сказать?

[Fkabir]

Шо, линукс таки поломали ?

[yamah]

Шо, линукс таки поломали ?

Ага. Взяли у админа ключи параль, когда тот пьянствовал, и открыли дверь получили доступ к серваку. Установили свое ПО и ушли.
Хотя может быть поставили в домашний каталог юзера и запустили.

Коменты на оффсайте можно прочесть.

[shade1387]

Интересную вещь, однако, узнал у себя :

# grep "sshd" /var/log/messages | grep -i invalid | wc -l
18712
(и это с 8-ого по 14-е сентября только!)
Сразу проверил удачных подключений - только 3. Все подключения устанавливал только я. Так что хороший пароль и PermitRootLogin no нормально делают своё дело. Сейчас еще порт сменил на нестандартный - хоть напрямую долбиться не будут.

[Bluetooth]

Интересную вещь, однако, узнал у себя :

# grep "sshd" /var/log/messages | grep -i invalid | wc -l
18712
(и это с 8-ого по 14-е сентября только!)
Сразу проверил удачных подключений - только 3. Все подключения устанавливал только я. Так что хороший пароль и PermitRootLogin no нормально делают своё дело. Сейчас еще порт сменил на нестандартный - хоть напрямую долбиться не будут.

Также можно напиасть правило для iptables, при котором если на ссш с одного адреса ломятся слишком часто, блокировать его.

[xnu!l]

Интересную вещь, однако, узнал у себя :

# grep "sshd" /var/log/messages | grep -i invalid | wc -l
18712
(и это с 8-ого по 14-е сентября только!)
Сразу проверил удачных подключений - только 3. Все подключения устанавливал только я. Так что хороший пароль и PermitRootLogin no нормально делают своё дело. Сейчас еще порт сменил на нестандартный - хоть напрямую долбиться не будут.

Это перманентная активность. Поставьте denyhosts (http://denyhosts.sourceforge.net/), а то плотный брутфорс еще и ресурсы жрет, если не блокировать.

По теме - ничего уж очень неожиданного, радует, что это не какой нибудь 0day exploit в том же apache, позволивший автоматизировать процесс эксплуатации среверов.

[aandy]

все обновили nginx?

http://sysoev.ru/
14.09.2009
nginx-0.8.15, nginx-0.7.62, nginx-0.6.39 и nginx-0.5.38. А также патч для устранения уязвимости VU#180065 для остальных версий 0.1.0-0.8.14.

[danger08]

Этого и стоило ожидать.
Слишком уж привлекательные возможности предоставляет такая схема

[vinny]

очень жаль, что ботнеты не принято использовать для распределённых вычислений. если бы это происходило, мы давно могли бы мотаться на выходные в галактику Гончих Псов (Canes Venatici).

[Fangelion]

а кто сказал что их в эту сторону не юзают? Ну хотя то русские, то украинские хакеры крякнут мерикоские банки. наверна скоро таки полетим к этим псам)))