Компания Akamai Technologies опубликовала сведения о обнаружении двух ботнетов – IptabLes и IptabLex, сформированных из Linux-серверов и используемых преимущественно для организации DDoS-атак. В состав ботнетов попадают своевременно не обновляемые серверы, на которых используются уязвимые версии Apache Struts, Apache Tomcat и Elasticsearch. После эксплуатации уязвимостей и получения доступа к системе, на серверах запускается вредоносное ПО, оформленное в виде собранного для Linux исполняемого файла, позволяющего принимать удалённые команды от центра управления ботнетом.
Число входящих в ботнеты Linux-серверов не приводится, но уже зафиксированы проведённые с использованием данных ботнетов DDoS-атаки, в результате которых на системы жертвы удалось направить трафик пропускной способностью в 119 гигабит/сек и интенсивностью 110 млн пакетов в секунду. Отмечается, что это одна из крупнейших DDoS-атак в этом году, которая также примечательна сдвигом в сторону применения для построения ботнета уязвимых серверных Linux-систем, вместо ранее используемых в этой области клиентских машин с Windows в сочетании с усилителями трафика в виде открытых DNS- или NTP-серверов.
Определить поражение системы вредоносным ПО можно по наличию исполняемых файлов .IptabLes или .IptabLex в директории /boot, а также следов их запуска в скриптах инициализации системы. Так как вредоносный код поддерживает функции загрузки и установки обновлений, его следы в системе могут измениться. Администраторам рекомендуется проверить защищённость своих систем и своевременность установки обновлений.