Команда безопасного поиска Яндекса провела исследование нового вредоносного ПО, заражающего *nix сервера, довольствуясь малыми привилегиями. Результаты расследования опубликованы в статье журнале Virus Bulletin. Версию на русском языке ищите в блоге Яндекса на Хабре.
В последние годы злоумышленники открыли для себя преимущества заражения серверов *nix. Эти сервера, зачастую, имеют более высокую производительность и широкий канал, чем сервера Windows, на них не всегда установлены средства защиты от вредоносного ПО, их реже обновляют. MAYHEM, обнаруженный в этом году, - отличный пример того, насколько опасным может быть вредоносное ПО под *nix, ведь для эффективного заражения ему даже не нужны права root. Злоумышленники нашли способ использовать максимум возможностей сервера, имея ограниченные права доступа.
В своём расследовании аналитики раскрывают детали заражения сервера с помощью PHP-скрипта. Далее установленный бот работает в бесконечном цикле и начинает отправлять информацию и получать команды от командного сервера, используя HTTP POST. Функционал ботнета определяется набором плагинов, которые хранятся в скрытой файловой системе. Большая часть плагинов нацелена на поиск и заражение других веб-серверов, используя их уязвимости. Особое внимание стоит обратить на плагин, который использует уязвимость Heartblead в OpenSSL.
Аналитики также смогли получить доступ к двум командным серверам злоумышленников, которые управляли более чем 1400 серверами, большая часть которых расположена в США, России, Германии и Канаде.