Pět let se podařilo nepozorovaně šířit malware zvaný Mumblehard. Ten se umí usadit na serveru s Linuxem a FreeBSD a rozesílat spam. Objevili jej výzkumníci společnosti Eset, kteří za sedm měsíců objevili 8500 infikovaných serverů a v posledních třech týdnech se k nim přidaly další 3000. Malware je aktivní, za posledního půl roku se počet napadených strojů zdvojnásobil. Podrobnosti firma zveřejnila v rozsáhlé zprávě [PDF].
Malware do serveru vniká dírami v redakčních systémech Joomla a WordPress, případně si jej správce může sám nainstalovat v ilegální kopii software DirectMailer. Mumblehard se skládá ze dvou částí: backdooru a spamovacího démona. Backdoor je uložen v /tmp
nebo /var/tmp
a je aktivován každých 15 minut pomocí cronjobu. Obě části jsou napsány v Perlu a do počítače si malware dokonce přinese vlastní interpreter tohoto jazyka.
Spamovací démon pak na příkazy centrálního serveru rozesílá spam a rychle dostává IP adresy serverů na blacklisty. Pokud chcete zkontrolovat svůj server, podívejte se do crontabu všech uživatelů a pátrejte po neznámých úlohách. Dobrý nápad je také nastavit dočasným adresářům příznak noexec.