Новый Linux-ботнет способен совершать широкомасштабные DDoS-атаки


Prolexic TechnologiesЭкспертами компании Akamai-Prolexic был выявлен ботнет, известный под названиями IptabLes и IptabLex. Одно время он использовался для осуществления DDoS-атак на DNS-серверы и прочие объекты сетевой инфраструктуры. В качестве жертв ботнета выступали неверно настроенные Linux-серверы.

Специалисты из Prolexic обнаружили данный ботнет еще во втором квартале 2014 года, когда с его помощью проводили DDoS-атаки, используя DNS- и SYN-флуд. Тогда атаки выполнялись через скомпрометированные серверы, использующие уязвимые версии

  • Apache Struts;
  • Apache Tomcat;
  • Elasticsearch.


Работает ботнет по следующей схеме. Проведя заражение сервера, последний получает корневые права и ожидает получения команд от C&C-сервера. При этом  экспертам удалось установить, что данное вредоносное ПО использовало два неизменяемых IP-адреса.

Чтобы не стать жертвой этого ботнета специалисты компаний настоятельно рекомендуют администраторам Linux-серверов установить последние обновления, а также изменить настройки безопасности. Они отметили, что ранее такие серверы не использовались в проведении DDoS-атак.

При этом специалисты утверждают, что всего лишь 23 из 52 антивирусов способны среагировать на эту новую угрозу.

Тем же, кто уже стал жертвой IptabLex, специалисты советуют прибегнуть к очистки зараженной системы. Для этих целей администраторам требуется выполнить несколько bash-команд:

  • sudo find / -type f –name ‘.*ptabLe*’ – exec rm –f {} ‘;’
  • ps –axu | awk ‘/\.IptabLe/ {print $2}’ | sudo xargs kill -9


И напоследок. После проведенной операции компьютер необходимо перезагрузить, а затем провести детальную проверку.


Обновлено (15.09.2014 00:37)