Apache Tomcat, Apache Struts və Elasticsearch versiyalarındakı boşluqlardan istifadə edən botnet Linux serverlərini yoluxdurur.
Akamai-Prolexic şirkətinin mütəxəssisləri IptabLes və IptabLex adlı botnet şəbəkə aşkarlamışlar. Botnet şəbəkəsi DNS və başqa tip şəbəkə infrastukturuna DDoS hücum üçün nəzərdə tutulub. Botnetin qurbanları düzgün qurulmamış Linux serverlərdir.
2014-cü ilin ikinci kvartalında Prolexic şirkəti, DDoS hücumları DNS fə SYN flud vasitəsilə təşkil edən botnet şəbəkəsi aşkarlamışdır. Hücumlar Apache Struts, Apache Tomcat və Elasticsearch versiyalarda yoluxmuş serverlər vasitəsilə təşkil edilir.
Server yoluxduqdan sonra C&C serverdən əmrləri qəbul etməyə hazır olur. Mütəxəssislər ziyanverici proqram təminatının 2 dəyişilməyən IP ünvan istifadə etdiyinin şahidi olublar.
Akamai mütəxəssisləri Linux server inzibatçılarına sonuncu təhlükəsizlik əlavələrini yükləməyi məsləhət görürlər. Antiviruslar yeni təhlükəyə qarşı gücsüzdürlər. Hal-hazırda botnet 52 antivirus proqramının yazlnız 23 tərəfindən aşkar edilə bilir.
Sistemi virusdan təmizləmək üçün inzibatçı bir neçə bash əmrdən istifadə etməlidir:
sudo find / -type f –name ‘.*ptabLe*’ – exec rm –f {} ‘;’
ps –axu | awk ‘/\.IptabLe/ {print $2}’ | sudo xargs kill -9
Sonra sistemi yenidən işə salıb yoxlamanı bir daha həyata keçirməlidir. Prolexic hesabatı ilə buradan tanış ola bilərsiniz.
Mənbə: www.securitylab.ru