Linux-servers Microsoft sturen Viagra-spam
Gepubliceerd: Vrijdag 15 oktober 2010
Auteur: Michiel van Blommestein
Ten minste drie weken lang hebben systemen van Microsoft internetverkeer doorgestuurd naar louche online apotheken in Russische handen. Daarnaast zijn DoS-aanvallen vanaf de twee systemen uitgevoerd.
De meer dan duizend unieke websites blijken gebruik te hebben gemaakt van twee systemen die op het Microsoft-campus in Redmond staan als domain name system servers. The Register meldde afgelopen week dat de Microsoft-geregistreerde IP-adressen 131.107.202.197 and 131.107.202.198 tientallen DNS-servers herbergden die domeinnamen van de sites omzetten in nummerieke adressen. Daarbij gaat het om betrouwbaar-klinkende namen als seizemed.com, yourrulers.com en crashcoursecomputing.com, die producten als viagra en groeihormonen adverteren.
Minstens 3 weken lang
Tegenover The Register heeft hacker Ronald Guilmette aangekaart dat de systemen actief waren vanaf 22 september, en mogelijk nog eerder. Hij stuitte op de adressen tijdens een onderzoek naar spam-apotheken, en zag dat ze geregistreerd stonden bij Microsoft.
Naar aanleiding van het bericht heeft Microsoft een onderzoek uitgevoerd, waarna de grootmacht bevestigt dat twee systemen inderdaad besmet waren met botnet-malware. "Ons onderzoek heeft uitgewezen dat twee foutief geconfigureerde netwerk-apparaten in een testlab waren gecompromiteerd", aldus de verklaring. "Deze apparaten zijn verwijderd."
Linuxkernel
Saillant detail is dat de systemen draaiden op een Linuxkernel, zo meldt Guilmette en bevestigt Microsoft. Bovendien voerde het botnet gerichte Denial-of-Service-aanvallen uit. Zo beweert prominente beveiligingsonderzoeker Brian Krebs dat zijn website een DoS-aanval te verduren heeft gehad vanuit de Microsoftadressen op 23 september. Op zijn website schrijft hij dat de Russische 'pillenbende' al hun aanvallen uitvoeren vanaf Unix- en Linuxsystemen.
