Der Web-Entwickler Denis Sinegubko hat ein Botnetz entdeckt, das aus Linux-Servern besteht und Schadsoftware an Windows-PCs verteilt. Man erkennt die kompromittierten Systeme am Webserver nginx, der auf Port 8080 betrieben wird.

Die Server verhalten sich ansonsten komplett unauffällig und verrichten ihren Dienst. Wie sie gekapert werden konnten, ist bislang nicht bekannt. Man vermutet, dass in unverschlüsselten FTP-Verbindungen abgehörte Passwörter auch für den Root-Zugang verwendet werden.

Das Botnetz war aufgefallen, als bekannte schädliche Webseiten aktualisiert wurden. Die dort angebotene Malware war plötzlich nicht mehr auf chinesischen Servern zu finden, sondern auf den Rechnern im Botnetz. Sie werden durch dynamische DNS-Namen der Dienstleister DynDNS.com und No-IP.com angesprochen.

Die Systeme des Linux-Botnetzes registrierten sich dort mit ihrer IP-Adresse für bestimmte Domains. Nachdem Sinegubko den Betreibern seine Entdeckung mitteilte, löschten sie über 100 Hostnamen aus ihrer Datenbank, doch die Betreiber des Botnetzes reagierten schnell und registrierten neue Namen.