ЗАКРЫТ КРУПНЕЙШИЙ БОТНЕТ ИЗ ЛИНУКС-СЕРВЕРОВ

Аноним (Microsoft Windows 8: Chromium based) 11/04/16 Пнд 00:57:40 #1 №1672596

Сообщается о закрытии ботнета Mumblehard, включавшего около 4000 Linux-серверов. Ботнет был обнаружен более года назад и использовался преимущественно для рассылки спама. В сотрудничестве с правоохранительными органами разных стран исследователям из компании ESET удалось получить контроль над IP-адресом последнего активного управляющего сервера и инициировать операцию чистки вредоносного ПО. Выявление основного управляющего хоста затрудняло то, что хост предавал команды не напрямую, а через цепочку запутывающих прокси-серверов, которые были размещены в 63 странах.

Управляющее ПО Mumblehard написано на языке Perl, но распространяется в зашифрованной форме внутри исполняемого файла в формате ELF с компактным распаковщиком на языке ассемблера. Кроме бэкдора, позволяющего управлять работой хоста, в комплект входит реализация высокопроизводительного SMTP-сервера, способного рассылать большие объемы спама.

http://www.welivesecurity.com/2016/04/07/mumblehard-takedown-ends-army-of-linux-servers-from-spamming/

Очередная эпическая победа сверхзащищённого швятого линупса.

Аноним (Linux: Firefox based) 11/04/16 Пнд 01:12:26 #2 №1672604

>>1672596 (OP)
Ну закрыли же. Победа.
Какие вопросы?

Аноним (Microsoft Windows 7: Chromium based) 11/04/16 Пнд 01:15:24 #3 №1672606

О, явился, работяга. Ну наконец-то.

Аноним (Microsoft Windows 7: Firefox based) 11/04/16 Пнд 01:19:24 #4 №1672608

Не читая новость: ботнет распространялся через брутфорс слабых паролей ssh. Угадал?

Аноним 11/04/16 Пнд 01:21:05 #5 №1672609

14603268655880.jpg

>>1672608
В том-то и интрига!

Аноним (Неизвестно: Неизвестно) 11/04/16 Пнд 01:42:49 #6 №1672618

>>1672596 (OP)
ПЕРДОПОБЕДА

Аноним (Microsoft Windows 7: Firefox based) 11/04/16 Пнд 10:31:46 #7 №1672723

>>1672608
Однако, в этот раз с другого бока мог быть шанс:

A question left open in our previous report was the initial attack vector used by Mumblehard. We knew some of the victims had been compromised through an unpatched CMS such as WordPress or Joomla, or one of their plugins.

То есть помимо тупого пароля там мог быть тупо дырявый плагин от вебсервера

Аноним (Microsoft Windows 7: Firefox based) 11/04/16 Пнд 10:32:30 #8 №1672724

>>1672723
Причём именно unpatched, что возвращает нас к вопросу о долбоёбам, которые накатят софт и годами его не обновляют.

Аноним (Linux: UC Browser) 11/04/16 Пнд 10:35:21 #9 №1672725

>>1672724
Зачем сам с собой разговариваешь?

Аноним (Microsoft Windows 7: Firefox based) 11/04/16 Пнд 10:40:03 #10 №1672727

>>1672725
Затем, что тут нельзя исправлять/дополнять уже запощенное, это было дополнение вдогонку

Аноним (Google Android: Firefox based) 11/04/16 Пнд 11:48:14 #11 №1672773

Прочитал онли шапку. Вангую слабые пароли в каком нибудь ftp или ssh. Либо кривые cms.

Аноним (Linux: Firefox based) 11/04/16 Пнд 12:14:35 #12 №1672781

>>1672596 (OP)
>4000 Linux-серверов на Дебилане
Вангую очередную дыру в этом колясочном пердорешете.

Аноним (Microsoft Windows 7: Firefox based) 11/04/16 Пнд 14:43:55 #13 №1672860

>>1672781
Ну зачем ты врешь? Где ты увидел что они все на дебиане?
Мимоарчешкольник

Аноним (Microsoft Windows 7: Firefox based) 11/04/16 Пнд 14:51:02 #14 №1672870

>>1672860
Арчешколочую этого спермоюзера, как правило там красношляпа стоит или бубнута.

Аноним (Linux: Firefox based) 11/04/16 Пнд 18:25:03 #15 №1673066

>>1672870
И дебиан тоже. Это не дистроспецифичные дыры, но соотношение такое, что там именно шапка/центось, дебиан/убунту.

Аноним (Fedora Linux: Firefox based) 13/04/16 Срд 19:04:22 #16 №1674964

>>1672723
>тупо дырявый плагин от вебсервера
Как настроить SELinux
@
SELINUX=disabled

Аноним (Linux: Firefox based) 21/04/16 Чтв 16:40:31 #17 №1681552