Video: How to Remove Virus/Malware from Hacked WordPress Website for FREE using WordFence Plugin Tutorial (Listopad 2024)
Útočníci napadli a převzali kontrolu nad více než 25 000 unixovými servery a vytvořili tak obrovskou platformu pro distribuci spamu a malwaru. Správci systémů Linux a Unix musí okamžitě zkontrolovat, zda jejich servery patří mezi oběti.
Gang za útokovou kampaní používá napadené servery k odcizení pověření, distribuci spamu a malwaru a přesměrování uživatelů na škodlivé weby. Infikované servery odesílají každý den 35 milionů spamových zpráv a každý den přesměrovávají půl milionu návštěvníků webu na škodlivé weby, uvedl Pierre-Marc Bureau, programový manažer bezpečnostních informací společnosti ESET. Vědci se domnívají, že kampaň, nazvaná Operation Windigo, za poslední dva a půl roku unesla přes 25 000 serverů. Skupina má v současné době pod kontrolou 10 000 serverů.
ESET vydal technický dokument s více podrobnostmi o kampani a zahrnoval jednoduchý příkaz ssh, který mohou správci použít, aby zjistili, zda byly jejich servery uneseny. Pokud k tomu dojde, měli by administrátoři znovu nainstalovat operační systém na infikovaný server a změnit všechna přihlašovací údaje, které byly kdy použity k přihlášení do počítače. Vzhledem k tomu, že Windigo získával přihlašovací údaje, měli by správci převzít všechna hesla a soukromé klíče OpenSSH použité na tomto počítači, a proto by měli být změněni, varoval ESET. Doporučení se vztahují jak na správce Unix, tak na Linux.
Otření stroje a opětovné nainstalování operačního systému od začátku může znít trochu extrémně, ale vzhledem k tomu, že útočníci odcizili pověření správce, nainstalovali zadní vrátka a získali vzdálený přístup k serverům, jeví se nezbytná možnost jaderné volby.
Prvky útoku
Windigo spoléhá na koktejl sofistikovaného malwaru, který ukradne a infikuje servery, včetně Linux / Ebury, backServeru OpenSSH a krádeže pověření, jakož i dalších pěti kusů malwaru. V průběhu jediného víkendu vědci ESET pozorovali více než 1, 1 milionu různých IP adres procházejících infrastrukturou Windiga, než byli přesměrováni na škodlivé stránky.
Webové stránky ohrožené společností Windigo zase infikovaly uživatele Windows pomocí exploitující sady, která tlačí podvody s klikáním a malware odesílající spam, ukazovala pochybné údaje o seznamovacích webech pro uživatele Mac a přesměrovávala uživatele iPhone na online porno stránky. Mezi oběti patřily známé organizace jako cPanel a kernel.org, přestože vyčistily své systémy, uvedl Bureau.
Mezi operační systémy ovlivněné komponentou spam patří Linux, FreeBSD, OpenBSD, OS X a dokonce i Windows, uvedl Bureau.
Rogue Servers
Vzhledem k tomu, že tři z pěti světových webů běží na serverech Linux, má Windigo spoustu potenciálních obětí, se kterými si může zahrát. Zadní vrátka používaná ke kompromitaci serverů byla instalována ručně a využívá špatné ovládací prvky konfigurace a zabezpečení, nikoli zranitelnosti softwaru v operačním systému, uvedl ESET.
"Toto číslo je významné, pokud se domníváte, že každý z těchto systémů má přístup k významné šířce pásma, úložišti, výpočetnímu výkonu a paměti, " řekl Bureau.
Hrstka serverů infikovaných malwarem může způsobit mnohem větší škody než velká botnet běžných počítačů. Servery mají obecně lepší hardware a výpočetní výkon a mají rychlejší síťové připojení než počítače koncových uživatelů. Připomeňme, že silné distribuované odmítnutí služebních útoků proti různým bankovním webům loni pocházelo z infikovaných webových serverů v datových centrech. Pokud tým za Windigo někdy přepne taktiku z pouhého využití infrastruktury k šíření spamu a malwaru na něco ještě nevolnějšího, výsledné poškození by mohlo být značné.
