Menu
in

Se detectó una botnet de servidores Linux

¿Cómo? Eso suena más a plataformas Windows, en eso todos estamos de acuerdo, pero recientes informes de varios sitios diferentes han revelado la existencia de unabotnet que ha tomado bajo su control a aproximadamente cien servidores Linux de diferentes distros. La botnet estaría infectando a sistemas Windows, entregando contenido a través de un servidor web que utiliza el puerto 8080. Muchos se han apresurado a decir que Linux al final no es tan seguro como sus usuarios dicen, pero lo cierto es que sólo una cosa puede haber provocado que cien servidores terminen infectados, y es un mal administrador de sistema. Si siempre se preguntaron por qué las distros insisten en no usar la cuenta root para tareas mundanas, esta es una de las razones.

La situación es muy poco clara, pero trataremos de pasarla en limpio lo mejor posible. Aparentemente, un total de cien servidores Linux ejecutando Apache y conteniendo páginas web legales fueron penetrados de forma tal que fueron infectados con un segundo servidor conocido como ngnix, y comenzaron a distribuir malware a través del puerto 8080. La gran pregunta que mantiene en velo a los expertos es cómo fue que estos servidores terminaron siendo infectados desde el principio. De acuerdo a la robustez de las plataformas Linux y de su inmunidad ante la gran mayoría de los virus existentes, todos están aplicando un poco de la Navaja de Occam aquí, llegando a la conclusión más sencilla: La culpa fue de los administradores de sistema.

Todavía no se sabe con exactitud si esto fue llevado a cabo para probar que es posible llevarlo a término, o si realmente es un malware que persigue un fin comercial, pero si realmente este nodo de servidores esclavizados se encuentra diseminando malware, entonces se deberían esperar reacciones que estén en sintonía con la infección. Una de las teorías menciona que los asaltantes lograron tener acceso debido a que algún administrador despistado habilitó el acceso abierto al FTP para el usuario root. Los hackers sólo tuvieron que obtener la contraseña del root a través del FTP, y el resto es más o menos historia conocida.

El malware utiliza sistemas como DynDNS.com y No-IP.com, dos sitios que ya han respondido de forma adecuada para contrarrestar los efectos de la botnet. Pero todos concuerdan con que no se debe tomar como una emergencia ni nada parecido. La botnet apenas cuenta con cien ordenadores, muy pequeña en comparación con otras botnets, por eso es tan fuerte la teoría de algún experimento hecho por un hacker. Sin embargo, esto nos recuerda el grado de responsabilidad que debemos tener con nuestros sistemas operativos, ya sean Windows, Mac OS o alguna distro de Linux. Contraseñas fuertes y no almacenadas ayudan mucho, al igual que utilizar el perfil de usuario correspondiente, en vez de estar jugando con la cuenta root.

Escrito por Lisandro Pardo

Leave a Reply