Антивирусная компания ESET захватила «мозг» ботнета Mumblehard, засевшего на ок. 4 тыс. сервров на Линуксе. Предположения о распространении бота через непропатченные копии Joomla и WordPress не подтвердилось. Специалисты заняли командный сервер бота и остановили спам с него. Сейчас ESET продолжает записывать новые обращения к боту и шлет данные в компьютерную группу реагирования на ЧС CERT-Bund в Германию. Размеры ботнета сейчас медленно, но верно уменьшаются.
Ботнета обнаружили еще около года назад Появился он, как предполагают, еще на несколько месяцев раньше. Основной жертвой были серверы под Линуксом, которые ботнет затем использовал, чтобы спамить.
В прошлом октябре специалисты компаний ESET и CyS Centrum при поддержке киберполиции Украины получили доступ к командному серверу бота. Это дало возможность лучше понять, как Mumblehard устроен.
Оказалось, что командный сервер следил за черным списком спамеров. Заметив в нем свои адреса, он отправлял запросы на их удаление, обходя каптчу программой распознавания образов.
До захвата главного сервера в ESET предполагали, что бот распространяется через непропатченные копии Joomla и WordPress, но их версия не подтвердилась. Обнаруженные скрипты бота взаимодействовали только с уже зараженными машинами. Это довод в пользу того, что создатели могли приобрели основу своего ботнета у другой группы.
