Читаем Цифровой журнал «Компьютерра» № 161 полностью

Цифровой журнал «Компьютерра» № 161

- Давайте вернёмся к технической стороне. Значит, источником DDoS-атак, как правило, являются боты…

- Под ботом может подразумеваться всё, что угодно. Можно сказать, что есть разные принципы организации DDoS-атак. Ещё год назад можно было сказать, что большинство узлов ботнета — это рабочие станции, а также в теории обсуждалось, возможен ли в теории крупный мобильный ботнет…

- Как минимум одна попытка создать нечто подобное была.

- Ну да. Возможно, небезуспешно, и такой ботнет существует — в каком-то пределе.

Но вот другой пример, безо всякой экзотики. В конце прошлого года, начиная с осени, была организована серия мощных, массированных атак с помощью инфицированных PHP веб-серверов. Атаки были с так называемым «плечом»: атакующий бил по мишени не напрямую, а через определённые «дыры» в необновлённых веб-движках устанавливал некоторый PHP-скрипт, который он дальше мог разным образом активировать. И эта активация могла быть в том числе так построена, что даже обычный легитимный пользователь, заходя на страницу, активировал кусок этого скрипта, который отбрасывал какое-то количество пакетов на сервер мишени. Таким образом, злоумышленник получал значительное количество «мусорного трафика», прикладывая значительно меньшие усилия.

- То есть это не было заражением пользовательского компьютера, просто пользователь заходил и…

- Да. Определённый веб-сервер, мощный веб-сервер, и не один, а может быть, даже целая группа, атаковали американские банки, находясь в Турции и в Европе.

- В Восточной, в Западной?

- И в Западной и в Восточной. Важнее другое: атака производилась не с каких-то заражённых компьютеров, а именно с заражённых серверов. И, поскольку сервера имеют намного более широкий канал передачи данных, намного более серьёзную инфраструктуру, то, естественно, отдача трафика такого устройства, количество определённого паразитного трафика, который он может от себя отослать, в разы превосходит возможности пользователя какого-либо ПК, который может быть подключён к каким-то «дохлым» интернет-каналам. Для успешной атаки таких серверов надо намного меньше. Более того, если вы даже нападёте на этот след и выключите этот сервер, то это не значит, что вы «выключите» тех людей, кто это сделал. Сервером может владеть совершенно «непричастная» компания или фирма, которая даже не знает, что происходит.

Бороться с такими схемами намного сложнее, потому что, если ботнет на обычном пользователе, вы можете пожаловаться провайдеру и провайдер может как-то сигнализировать этому пользователю или просто, в конце концов, его отключить. А выключить какой-то сервер или выключить какую-то компанию из интернета – это намного сложнее. Более того, выявить заражение на серверных устройствах, которые включены постоянно и их работа связана с какой-либо бизнес-активностью, намного сложнее.

Если здесь у нас может быть инфицирована рабочая станция, достаточно переустановить Windows, установить антивирус — и всё будет нормально. А если у вас сервер и там крутится множество скриптов, которые ещё постоянно дописываются, переписываются, модифицируются, то представьте, каково отыскать там какой-то вредоносный код. Более того, код находится внутри некоторого скрипта. А это не некое win32-приложение, которое вы можете просто стереть. Скрипт будет подгружаться динамически и активироваться только в определённый момент.

Когда вся эта история началась, то я обратился к нашему подразделению вирусных аналитиков на предмет наличия у нас российской статистики по подобным заражениям, по подобным PHP-скриптам. Изначально была описана подобная ситуация с Linux-платформой, и мы решили посмотреть на Windows-платформу. И оказалось, что мы имеем достаточно большое количество заражений.

Россия там занимала третье место с очень большим количеством Windows-серверов, на которых установлены уязвимые и заражённые PHP-движки. Это означает, что источником такого лавинообразного трафика эти сервера могут выступать хоть завтра, потому что они уже находятся в зоне риска, они уже заражены. Когда их активируют – это вопрос времени.

- А если в абсолютных цифрах – примерно сколько заражённых серверов удалось насчитать?

- Мы видели несколько сотен серверов. Это достаточно большое количество. Мы не проверяли, что это, но представьте себе, что это, например, какие-то крупные компании. Им, скорее всего, нельзя будет позвонить и сказать: «Выключите свой сервер».

Перейти на страницу: