Gyenyisz Szinegubko, egy magnyitogorszki független biztonságtechnikai kutató arról számolt a The Register-nek, hogy felfedezett egy linuxos szervereket érintő fertőzést. Körülbelül 100 node-ról van szó, amelyek mindegyike valamilyen Linux-disztribúciót futtató Apache webszerver.

A fertőzést leíró blogjában Szinegubko arról számol be, hogy amit felfedezett, az újdonság, de nem váratlan, ám ez az első bizonyíték arra, hogy nemcsak egyes számítógépek egyenkénti fertőzésével érhető el a zombihálózatok létrehozása, hanem a szervereken keresztül is, vagyis a netes bűnözők keresik az új utakat arra, hogy hatalmas, céljaikat kiszolgáló hálózatokat hozzanak létre. (A Register cikkírója megjegyzi, hogy talán trendről van szó, mivel Szinegubko közlésével egy időben jelentette be a Symantec, hogy a Google Groupsot is használták botnet menedzselésére, s arról a nemrég kiderült esetről is szót ejt, hogy hasonló módon használtak fel Twitter-profilokat).

Szinegubko adatai szerint a fertőzött gépek a 80-as portot használják a normál forgalomra, de a háttérben a 8080-as porton keresztül folytatnak káros kommunikációt, s a dinamikus DNS-szolgáltatók segítségével terítik a kártékony tartalmat, megfertőznek weboldalakat, hogy az azokra érkező felhasználó tudomása nélkül kerüljön fel a gépére a szükséges trójai.

Az a kérdés azonban még megválaszolatlan, hogy miképp sikerült a szervereket megfertőzni, Szinegubko blogjában a rendszergazdák hanyagságára gyanakszik, vagyis hogy gyenge root-jelszavakat használtak, melyekhez a támadók úgy juthattak hozzá, hogy az adminisztrátorok helyi (feltehetően windowsos) gépeiről lopták el azokat. A fertőzés mértéke az orosz szakember szerint még kicsi, s tapasztalatai szerint a DynDNS.com és a NO-IP.com kiszolgálókat használó támadók óránként két új IP-címet képesek lefertőzni, de a szolgáltatókat már értesítette a gondról.