Het gaat om Linux-webservers die legitieme websites draaien op Apache. Die legitieme content wordt uiteraard door poort 80 gepompt. Maar de onderzoekers hebben ontdekt dat een verborgen webserver luisterend naar de naam nginx malafide content door poort 8080 heen jaagt. De malware wordt verder verspreidt naar 'klanten' via dynamische DNS providers.

Het aantal zombiesystemen willen de ontdekkers nog niet geven. Wel zouden de servers bij elkaar meer dan honderd legitieme domeinen beslaan. Het valt dus nog mee, maar het feit dat het om een Linux-infectie gaat maakt het net iets minder goed te detecteren.

Op het Unmask Parasites-blog wordt aangegeven dat de innovatie hem in twee dingen zit. De domeinen waarnaartoe worden verwezen door de malafide scripts is niet second level zoals we dat gewend zijn, maar third level.

Die blijven maar een paar dagen hangen, waarna de DNS verwijst naar een nieuw gratis domein. Dat maakt het blacklisten een stuk ingewikkelder. Daarnaast verwijzen de domeinen ook nog eens naar verschillende IP-adressen. Waar het normaal om een vaste 'set' van adressen gaat, zijn ook deze wisselend.

De ontdekkers raden beheerders van Linux-webservers aan om te kijken of er ongeautoriseerd verkeer gaat door poort 8080. Bron: Techworld