- Door
- Arnout Veenman
- geplaatst op
- 15 september 2009 08:01 uur
Security onderzoeker Denis Sinegubko heeft een botnet ontdekt dat niet bestaat uit geïnfecteerde pc’s, maar uit Linux servers. Het bewuste botnet werd gevonden bij een onderzoek naar in legitieme websites geïnjecteerde iframes die de bezoeker met malware probeert te infecteren.
Totaal werden er 77 Linux servers gevonden die onderdeel uit maakten van het botnet. Op de servers draait op poort 80 een Apache webserver, die verantwoordelijk is voor de hosting van de reguliere content van de eigenaar van de server. Op 8080 draait een nginx webserver, die als een soort loadbalancer willekeurig redirect naar een andere server waarop de malafide iframe content wordt gehost.
Het botnet maakt gebruik van dynamische DNS hosters, waardoor de botmaster snel en eenvoudig de gebruikte server kan verwisselen. DynDNS en No-IP, haalden onmiddellijk de lijst met malafide subdomeinen uit de lucht. Ondanks dat blijft het dwijlen met de kraan open. Door Sinegubko worden er elk uur weer twee nieuwe dynamische subdomeinen ontdekt, die voor het zelfde doel gebruikt worden.
Sinegubko waarschuwt hosters dat het Linux server botnet nu nog relatief vrij klein is. Het is mogelijk dat het nu nog maar een proof-of-concept is. Het is te verwachten dat we in de toekomst meer botnets zullen gaan zien, die niet bestaan uit zombie pc’s maar uit zombie servers.
