Un server compromis apartinand Institutului de Tehnologie din Massachusetts (MIT) din Statele Unite, a fost identificat ca fiind folosit pe post de scanner de vulnerabilitate si ca instrument de atac, scanand diferite site-uri de pe web pentru vulnerabilitati si injectand un cod malitios in site-urile gasite ca fiind vulnerabile. Potrivit cercetatorilor companiei BitDefender care au descoperit atacul, atacurile se pare ca se efectuau folosind un instrument popular de hacking numit Blackhole Exploit, instrument frecvent utilizat de hackeri.
Atacurile au inceput in luna iunie, si estimarile arata ca aproximativ 100.000 de domenii au fost compromise. Site-urile infectate contin un cod mailitios injectat in partea de sus a continutului deja existent pe site, completat cu imagini si texte aleatoare, si cuvinte cheie targetate (directionate).
Daca site-ul nu este gasit vulnerabil, este totusi afectat de scaner, prin multitudinea de cereri http de tip “GET”, cautand directoare sau fisiere in site, pentru a descoperi eventuale vulnerabilitati.
Mai concret, un server al MIT, mai exact CSH-2.MIT.EDU, gazduieste un script “malware” activ, script utilizat de hackeri pentru a scana alte site-uri web pentru vulnerabilitati si se pare ca s-a folosit o vulnerabilitate a scriptului phpMyAdmin pentru a compromite serverului. Versiunile vulnerabile ale phpMyAdmin sunt cele din gama 2.5.6 pana la 2.8.2.
Serverul MIT este doar un caz singular, insa multe alte servere au fost sparte si folosite in scopuri similare. Gazdele sunt compromise si pot fi ulterior folosite si pentru alte tipuri de atacuri de genul spam sau o retea de boti.
Pentru a detecta un astfel de atac este suficient sa consultam logului serverului web, de exemplu Apache. Intr-o faza initiala atacul se bazeaza pe un request de tip GET, urmat apoi de alte request-uri similare ce vizeaza fisiere de configurare sau diferite scripturi ce s-ar putea afla pe server:
“GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1”
“GET //admin/scripts/setup.php HTTP/1.1”
“GET //admin/pma/scripts/setup.php HTTP/1.1” 404
“GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1” 404
“GET //db/scripts/setup.php HTTP/1.1” 404
Aceste tipuri de atacuri consuma din resursele serverului si in acelasi timp genereaza un trafic si un consum de banda semnificative.