Обнаруженный DDoS-ботнет состоит из MySQL-серверверов


SymantecИсследователи из компании Symantec обнаружили новый ботнет состоящий из MySQL-серверов по всему миру. Злоумышленники используют свое детище для осуществления DDoS-атак. Самым крупным атакам подверглись хостинг-провайдер в США и IP-адрес, зарегистрированный в Китае.

Все инфицированные серверы расположены в 10 странах мира, однако большая их часть приходится на:

  • Индию;
  • Китай;
  • Бразилию;
  • Нидерланды.


Количество зараженных серверов не уточняется.

В Symantec считают, что злоумышленники скомпрометировали MySQL-серверы из-за их более высокой пропускной способности. К тому же, с помощью такого масштабного ботнета можно предпринимать атаки на более высокопрофильные цели.

В ходе атак злоумышленники используют вариант трояна Chickdos, который был обнаружен еще в декабре 2013 года. После инфицирования преступники внедряют SQL-код, который устанавливает вредоносную UDF-функцию на целевом сервере. После загрузки в MySQL она исполняется. В данном случае UDF используется как загрузчик, а также для модификации строк регистра с целью активации терминальных сервисов (TerminalServices). Таким образом хакеры получают возможность удаленно контролировать скомпрометированный сервер и создавать новые учетные записи.

После этого с двух вредоносных web-сайтов загружаются две разновидности Chickdos. Стоит напомнить, еще два года назад в ходе подобной кампании злоумышленники использовали автоматизированные инструменты или червя для компрометации MySQL-сервера и установки UDF. В этом случае эксперты не смогли идентифицировать вектор заражения.

Чтобы обезопасить себя от подобного рода атак, специалисты настоятельно рекомендуют:

  • не злоупотреблять правами администратора;
  • регулярно обновлять приложения, для работы с которыми нужны права администратора;
  • регулярно проверять конфигурацию сервисов, требующих удаленного доступа к серверу.

Обновлено (30.10.2015 22:24)