natlab จากผู้ให้บริการด้าน Cyber-security ของจีนนาม Qihoo 360
ทีม natlab จากผู้ให้บริการด้าน Cyber-security ของจีนนาม Qihoo 360 ได้กล่าวว่า การโจมตี Webmin ในช่วงแรกนั้นคือ botnet ตัวใหม่ที่พวกเขากำลังเฝ้าระวัง ขนานนามว่า Roboto โดยในช่วงระยะเวลา 3 เดือนที่ผ่านมา botnet กำหนดเป้าหมายไปยัง Webmin servers
botnet มีความความสามารถในการใช้เป็น DDos โดยจะเปิดการโจมตีผ่าน vectors เช่น ICMP , HTTP,TCP และ UDP นอกเหนือจากการโจมตีแบบ DDos
Roboto ยังสามารถติดตั้งบนระบบ Linux ที่ถูกแฮ็กผ่านช่องโหว่ Webmin เพื่อใช้ทำหน้าที่ต่อไปนี้ :
– ทำหน้าที่เป็น reverse shell และ ให้ผู้โจมตีเรียกใช้ shell commands บน เครื่องที่ของเหยื่อ
– รวบรวมข้อมูล process , system และ network จาก server ที่ตกเป็นเหยื่อ
– อัปโหลดข้อมูลที่รวบรวมมาได้ไปยัง remote server
– เรียกใช้คำสั่ง Linux system()commnads
– Execute ไฟล์ที่ดาวน์โหลดมาจาก remote URL
– สามารถถอนการติดตั้งได้ด้วยตัวมันเอง
อย่างไรก็ตามควรอัปเกรด Webmin เป็นเวอร์ชั่น 1.930 หรือ หากใช้งานเวอร์ชั่น 1.900 – 1.920 ให้แก้ไข
/etc/webmin/miniserv.conf ลบรหัสผ่าน passwd_mode = line, จากนั้นให้ รัน /etc/webmin/restart.”
Cr.https://www.zdnet.com/article/new-roboto-botnet-emerges-targeting-linux-servers-running-webmin/
