ESET说,攻击者感染并夺取了超过25, 000台Unix服务器的控制权,以创建庞大的垃圾邮件和恶意软件分发平台。 Linux和Unix管理员需要立即检查其服务器是否属于受害者之列。
攻击活动背后的帮派利用受感染的服务器窃取凭据,分发垃圾邮件和恶意软件,并将用户重定向到恶意站点。 ESET安全情报程序经理Pierre-Marc Bureau说,受感染的服务器每天发送3500万条垃圾邮件,每天将50万名Web访问者重定向到恶意站点。 研究人员认为,这项名为“ Windigo行动”的活动在过去两年半的时间内劫持了超过25, 000台服务器。 该局目前控制着10, 000台服务器。
ESET发布了一份技术论文,详细介绍了该活动,并包括了一个简单的ssh命令,管理员可以使用该命令来确定服务器是否被劫持。 如果真是这样,管理员应在受感染的服务器上重新安装操作系统,并更改曾经用于登录计算机的所有凭据。 ESET警告,由于Windigo收集了凭据,因此管理员应假定该计算机上使用的所有密码和OpenSSH专用密钥均已泄露,应进行更改。 这些建议适用于Unix和Linux管理员。
从头开始擦除机器并重新安装操作系统可能听起来有些极端,但是考虑到攻击者已经窃取了管理员凭据,安装了后门并获得了对服务器的远程访问权限,因此采取核选择似乎是必要的。
攻击要素
Windigo依靠一系列复杂的恶意软件来劫持和感染服务器,包括Linux / Ebury,OpenSSH后门和凭据窃取程序以及其他五种恶意软件。 在一个周末的过程中,ESET研究人员观察到超过110万个不同的IP地址经过Windigo的基础结构,然后才被重定向到恶意站点。
被Windigo侵害的网站进而利用漏洞利用工具包感染Windows用户,该工具包会推动点击欺诈和发送垃圾邮件的恶意软件,向Mac用户约会网站时显示可疑的s,并将iPhone用户重定向至在线色情网站。 局方说,尽管cPanel和kernel.org等知名组织已经清理了系统,但它们仍是受害者。
受到垃圾邮件组件影响的操作系统包括Linux,FreeBSD,OpenBSD,OS X甚至Windows。
流氓服务器
考虑到世界上五分之三的网站都在Linux服务器上运行,Windigo有很多潜在的受害者要玩。 ESET说,用于破坏服务器的后门是手动安装的,并利用不良的配置和安全控制,而不是操作系统中的软件漏洞。
“如果考虑到这些系统中的每个系统都可以访问大量的带宽,存储,计算能力和内存,那么这个数字就非常重要。”
与大型常规计算机僵尸网络相比,少数感染了恶意软件的服务器所造成的危害要大得多。 服务器通常具有比最终用户计算机更好的硬件和处理能力,并且具有更快的网络连接。 回想一下,去年针对各种银行网站的强大的分布式拒绝服务攻击源自数据中心中受感染的Web服务器。 如果Windigo背后的团队曾经将策略从仅使用基础架构传播垃圾邮件和恶意软件的方法转变为更原始的方法,那么造成的损失可能是巨大的。
