Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu

Odhaleno: síť serverů šířila spam, malware pro PC a porno pro iPhony

  16:25aktualizováno  22:02
Až 35 milionů spamových zpráv denně se šířilo z napadených serverů. Návštěvníky těchto webových serverů pak čekaly viry, reklamy nebo porno. Výzkumníci firmy ESET upozornili, že asi 10 tisíc serverů je nadále napadeno, a vyzývá administrátory serverů k větší obezřetnosti.

Ukázka seznamkového spamu rozesílaného v rámci operace Windigo | foto: ESET

"Operace Windigo", nazvaná podle indiánské legendární bytosti s kanibalistickými sklony, je název pro rozsáhlou podvodnou operaci, které podlehlo podle vyjádření antivirové firmy ESET až 25 tisíc unixových serverů. Mezi napadenými byly i servery cPanel a kernel.org. 

Cílené kampaně

Napadené servery se zapojily do sítě útočníků. Servery denně navštívilo půl milionu lidí. Uživatelé PC byli vystaveni škodlivému malware, uživatelé Macu uviděli reklamy na seznamky a majitelé iPhonů byli obvykle přesměrováni na pornografické stránky.

Než byl zjištěn rozsah napadení, bylo identifikováno 26 024 napadených server a každý den jich přibývalo dalších 38. Windigo se přitom bez většího povšimnutí šířil asi dva a půl roku. 

Podle výzkumníků to ukazuje na nedostatečné zabezpečení serverů, které je často na nižší úrovni než zabezpečení běžných desktopových počítačů. "Bezpečností díra (backdoor) Ebury nevyužívá zranitelnost Linuxu nebo OpenSSH," vysvětlil Marc-Étienne Léveillé, výzkumník ESETu. "Tento malware byl ručně nainstalován útočníkem. To, že se jim to povedlo na tisícovkách na sobě nezávislých serverů, je děsivé."

Útočníci se zaměřili především na servery. Pokud se někdo z ručně nakaženého serveru připojoval na čistý server, útočníci jeho přihlašovací údaje odchytili a zjistili, jestli tak získali administrátorská práva (root) k novému, dosud čistému serveru. Pokud ano, nakazili jej pomocí zadních vrátek (backdooru). Pokud zde navíc našli webový server, využili jej k šíření malwaru, reklam nebo odkazů na pornografii. Nově nakažený server samozřejmě zapojili do infrastruktury útoku Windigo.  

Schéma postupu při krádeži identity v rámci operace Windigo

Schéma postupu při krádeži identity v rámci operace Windigo

Ten si navíc hlídá, zda jej někdo nezkouší objevit a v takovém případě je schopen přejít do jakési hibernace, kdy se vůbec neprojevuje.

Výzva administrátorům

Firma ESET v odborné zprávě o útoku Windigo (PDF) zveřejnila příkaz, pomocí kterého si může každý administrátor ověřit, zda je jeho linuxový server napadený. 

Servery napadené infekcí Linux/Ebury, která se podílela na vytvoření sítě...

Servery napadené infekcí Linux/Ebury, která se podílela na vytvoření sítě botnetu v rámci operace Windigo.

Výzkumníci apelují na administrátory, aby se ujistili, zda se na šíření malwaru nepodílejí i jejich servery. Pokud ano, doporučují v zájmu bezpečnosti čistou instalaci. "Víme, že je to drsný lék. Ale pokud hackeři získali vaše administrátorské jméno a heslo, nic jiného vám nezbývá," varuje Léveillé. "Bohužel, někteří administrátoři, kterých se nákaza týká a se kterými jsme byli v kontaktu, odmítají svůj stroj vyčistit a ohrožují tím další uživatele internetu."

Aktualizace 22:02 - Do článku jsme doplnili popis šíření infekce a mapu.

Autor:






Hlavní zprávy

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Najdete na iDNES.cz



mobilní verze
© 1999–2016 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je součástí koncernu AGROFERT ovládaného Ing. Andrejem Babišem.