Лінухкапець: Вірус вразив 100000 Linux-машин
Березень 24th, 2009
Виявлено перший в світі ботнет, який складається з роутерів на базі Linux/MIPS. Розбито відразу два міфи: “під лінуксом нема вірусів” та “стійкі незламні вебсервери стоять на лінуху”. Суперновина, прихильники MS танцюють самбу на уламках dlink’ів, asus’ів та іншої фігні.
Власне, головне джерело інформації: http://www.dronebl.org/blog/8 . Там сказано, що на даний момент psyb0t (так його назвали) самоліквідувався. Управління інфікованими машинами відбувалося через звичний багатьом IRC(Internet Relay Chat). Це дозволило невідомому хакеру залишити послання людству:
* Now talking on #mipsel
* Topic for #mipsel is: .silent on .killall .exit ._exit_ .Research is over:
for those interested i reached 80K. That was fun, time to get back to the real life… (To the DroneBL guys:
I never DDOSed/Phished anybody or peeked on anybody’s private data for that matter)
* Topic for #mipsel set by DRS at Sun Mar 22 17:02:15 2009
Чисто just for fun, без ніякої шкоди. Втім, спеціалісти не впевнені, наскільки можна вірити цим словам.
Механізм ураження був простим, як дрова. Настільки простим, що цю штуку теоретично навіть не можна класифікувати як черв чи вірус. Воно просто тупо, brute force, підбирало пароль, щоб отримати доступ в консоль роутера. А отримавши, починало веселитись: блокувало ssh, telnet та web-інтерфейс (щоб хазяїн машинки не зміг нічого вдіяти), скачувало своє основне тіло і починало чекати подальших команд через IRC. Роутер при цьому продовжував функціонувати, всі пакети направлялися куди треба. Правда, цілком можливо, що проводився пошук у пакетах інших паролів (це я не зовсім зрозумів, але промайнула фраза “harvests usernames and passwords through deep packet inspection”).
Відповідно, так само простим як дрова є і спосіб захисту: треба лише не лінуватися і використовувати довгий, якісний пароль. До речі, тут якраз Microsoft представив засіб для перевірки стійкості пароля.
А ще хтось згадав, що такий тип атаки було описано ще у далекому 2006 році. Якщо цікаво, можна глянути, там небагато.
