Bij een wereldwijde campagne hebben cybercriminelen de afgelopen twee jaar 25.000 Linux-servers gekaapt en gebruikt voor het versturen van spam en verspreiden van malware, zo meldt anti-virusbedrijf ESET. Onder andere de webservers van Kernel.org en cPanel werden het doelwit van de aanvallers.

Die gebruikten geen beveiligingslekken om toegang te krijgen, maar konden dankzij gestolen inloggegevens inloggen. Op de besmette webservers werd onder andere de Ebury SSH-backdoor geïnstalleerd, waardoor de aanvallers toegang tot de servers bleven behouden en andere SSH-inloggegevens konden onderscheppen. De websites die op webservers draaiden werden daarnaast van exploits voorzien, die bezoekers weer met malware probeerden te infecteren.

Elke dag zouden er zo'n 500.000 internetgebruikers via de gekaapte webservers naar kwaadaardige content worden doorgestuurd. Eén procent van de doorgestuurde bezoekers raakt ook daadwerkelijk met malware geïnfecteerd. Op dit moment zouden zo'n 10.000 webservers nog door 'Operation Windigo', zoals de aanval wordt genoemd, zijn gekaapt en sturen 700 servers bezoekers door naar malware. De besmette servers worden ook gebruikt voor het versturen van spam. Dagelijks zou het om 35 miljoen berichten gaan.

Met de publicatie hoopt ESET systeembeheerders voor de aanvallen te waarschuwen. In het geval een server is gecompromitteerd krijgen systeembeheerders het advies om die volledig te wissen en het besturingssysteem en alle software opnieuw te installeren. Daarnaast moeten alle wachtwoorden en privésleutels worden gewijzigd, aangezien die mogelijk tijdens de infectie zijn gecompromitteerd.