Botnet en base a web servers corriendo sobre Linux

(cc) Sophos D/A/CH Presseinfo

Antes de que los fans anti-Linux se emocionen, lamento decirles que no se trata de un problema de seguridad atribuible al sistema operativo libre e involucra a sistemas Windows y servidores de DNS dinámicos.

Se trata de un nuevo ejemplo de cómo la seguridad se comporta como una cadena: Es tan fuerte como su eslabón más débil.  Esto quiere decir que no importa qué tan fuerte sean todos los elementos de seguridad que usemos, basta un punto débil y ahí se producirán los problemas.  Por ejemplo nada puede hacer el mejor de los firewalls si tienes un servicio vulnerable o una password débil, cof cof…

Con el uso de troyanos en Windows, se ha producido un robo masivo de cuentas FTP usadas para administrar el contenido de servidores web en Linux.  Con este acceso FTP, los intrusos han modificado algunos sitios web para incluir un iframe hacia otro sitio web.  Este iframe contiene una referencia a una URL que apunta a un nombre de host servido por un sistema de DNS dinámico y el servidor final causa que el usuario descargue una variante del troyano Bredolab.gen, con el que se puede repetir el proceso.

Los nombres de hosts utilizados apuntan a un segundo servidor web instalado entre los mismos servidores afectados.  Este servidor se instala con la misma cuenta FTP robada, ya que con ésta se puede subir código ejecutable en el servidor y con él descargar, compilar y ejecutar un segundo servidor.  Según lo que se ha investigado, el servidor secundario utilizado es nginx y queda corriendo en el puerto 8080, un puerto que no requiere permisos de administrador para ser utilizado.

El sistema es ingenioso, ya que con el uso de DNS dinámicos y con cada servidor involucrado se crea una gran red balanceada y dinámica, lo que dificulta su detección y bloqueo.  Por ahora, los proveedores de DNS dinámico han bloqueado los dominios usados en esta botnet.

El hecho de distribuir troyanos para Windows, que posteriormente se usan para controlar tales computadores, hace que el problema sea difícil de detener incluso teniendo el apoyo de los servicios de DNS dinámicos.  Para empeorar la situación, estos mismos troyanos en Windows son usados para seguir robando cuentas FTP legítimas.

Links:
Linux webserver botnet pushes malware (The Register)
Dynamic DNS and botnet of zombie web servers (Unmask Parasites)
Drive-by campaign using Dynamic DNS domains (Abuse.ch)