Het botnet zoekt het net af naar kwetsbare webservers. Volgens Aegaeon op MalwareCity voert het botnet een brute force aanval uit op IP-adressen die worden aangewezen door de botbeheerder. Veel logs laten zien dat er een stortvloed van http aanvragen zijn geweest van IP-adressen in Azië en Oost-Europa, waarbij de versie van phpMyAdmin wordt opgevraagd. Als die versie verouderd blijkt te zijn, dan wordt er een pakketje geïnstalleerd in /tmp/vm.c en in tmp/dd_ssh, waarna dd_ssh wordt opgestart en de computer mee gaat draaien in het botnet.

Upgraden

Ook Daniel Wesemann van SANS heeft de aanvallen gevolgd en hij komt tot dezelfde conclusies. Het SANS heeft sinds begin augustus een enorme stijging gezien in het aantal aanvallen op poort 22, al is het aantal bronnen de afgelopen dagen weer ingestort.

De kwetsbaarheid die wordt uitgebuit is al in april gepatcht, dus beheerders wordt aangeraden om te upgraden. “Kom op mensen, als je perse wilt dat je phpmyadmin bereikbaar is vanaf het internet (waarom zou je?? Access control is niet zo moeilijk!), zorg dan in ieder geval dat je de huidige versie draait”, verzucht Wesemann.

Uit de commentaren op de blogpost van Wesemann blijkt overigens dat up-to-date webservers ook last hebben van de aanvallen. De scans kunnen de uitwerking hebben van een DDoS-aanval. Denyhosts en SSHGuard worden aangeraden om je te wapenen tegen de aanvallen.

Bron: Techworld