Новый вредоносный код Mayhem активно распространяется среди веб-всерверов на базе Linux и FreeBSD. Программное обеспечение использует базу данных об ошибках в конфигурациях веб-серверов для атаки целевых систем, а также для поиска устаревшего программного обеспечения на веб-серверах.
Адрей Ковалев, Константин Острашкевич и Евгений Сидоров из Яндекса обнаружили указанный вредонос при его попытке атаки нескольких *nix-серверов. Специалисты отследили коммуникационные процессы Mayhem с зараженных серверов на коммандные центры. По словам специалистов, на данный момент жертвами вредоноса стали примерно 1400 веб-серверов.
“В nix-мире системы автообновлений не слишком распространены, особенно если сравнивать с десктопами и смартфонами. Подавляющее большинство серверов обновляется вручную при помощи администраторов, также вручную тестируется защищенность от хакерских атак”, – говорится в техническом описании вредоноса на Virus Bulletin. “Для обычных сайтов серьезные процессы обслуживания и тестирования достаточно дороги и зачастую у администраторов просто нет времени на это”.
Mayhem распространяется посредством поиска веб-серверов со включенной функцией RFI (remote file inclusion), а также с багами в интерпретаторе PHP. При нахождении сервера-жертвы, на системе размещается разделяемая библиотека libworker.so, которая работает на системе и связывается с C&C-серверами. Также вредонос создает скрытую файловую систему sd0 и загружает туда 8 плагинов, ни один из которых не выявляется сканером VirusTotal. Плагины включают в себя несколько систем перебора паролей для FTP, “ломалки” для WordPress, сборщики информации о контенте на серверах и другие.
Специалисты из Яндекса выявили по крайней мере два C&C-сервера. Также они говорят, что выявленный код работает по собственной базе кода и не делит исходники с ранее существовавшими кодами Trololo_mod и Effusion, атаковавшими Apache и Nginx-серверы. (Яндекс/NovostIT)