![image][1] Ботнет из Linux-устройств разросся настолько, что может генерировать атаки с потоком более 150 Гбит/с, что многократно превышает запас прочности инфраструктуры среднестатистической компании. О начале подобных DDoS-атак сообщили исследователи из Akamai Technologies. Сетевой червь, более известный как [XOR DDoS][2], при помощи которого и был собран ботнет, выявили еще в сентябре 2014 года. В январе этого года пользователь Хабра [Patr1ot07][3] [опубликовал статью][4], в которой рассказал о том, как работает зловред.

> Инфицирование начинается с попытки брут-форса SSH, используя логин root. В случае успеха злоумышленники получают доступ к скомпрометированной машине, а затем устанавливают троян, как правило, с помощью шелл-скрипта. Скрипт содержит такие процедуры, как main, check, compiler, uncompress, setup, generate, upload, checkbuild и т.д. и переменные \_\_host\_32\_\_, \_\_host\_64\_\_, \_\_kernel\_\_, \_\_remote\_\_,, и т.д. Процедура main расшифровывает и выбирает C&C сервер, основываясь на архитектуре системы.

[Читать дальше →][5]

[1]: https://habrastorage.org/getpro/habr/post_images/9e0/22c/1b4/9e022c1b45c80711299285f2da92cc33.jpg
[2]: http://blog.malwaremustdie.org/2014/09/mmd-0028-2014-fuzzy-reversing-new-china.html
[3]: http://habrahabr.ru/users/patr1ot07/
[4]: http://habrahabr.ru/post/248933/
[5]: http://habrahabr.ru/post/268007/#habracut