💀 Zumbis no Chat: 7 Mil Servidores Linux Controlados via IRC
Uma nova campanha de malware infectou mais de 7.000 servidores Linux ao redor do mundo, utilizando uma infraestrutura de Comando e Controle (C2) surpreendentemente simples e antiga: o protocolo IRC (Internet Relay Chat). O ataque prova que a segurança por obscuridade não funciona; portas e serviços legados são alvos primários de automação criminosa.
| 📊 Ficha Técnica da Ameaça | |
|---|---|
| 🚪 Vetor de Entrada | Brute Force em Porta SSH (22) com credenciais fracas. |
| 📡 Infraestrutura C2 | Servidores IRC (Porta 6667) usados para enviar ordens. |
| 💣 Payload | DDoS (Negação de Serviço) e Mineração de Cripto (XMRig). |
1. Por que usar o "WhatsApp dos Anos 90"?
Para um leigo, o IRC é uma relíquia. Para um hacker, é a ferramenta perfeita de C2. Ele é baseado em texto simples, consome pouquíssima banda, é fácil de criptografar (SSL/TLS) e, o mais importante: muitos firewalls corporativos modernos ignoram o tráfego de "chat", permitindo que o malware se comunique com o mestre sem ser detectado.
1. Varredura: Bots varrem a internet procurando portas 22 (SSH) abertas.
2. Força Bruta: Tentam logins padrão (`root/123456`, `admin/admin`).
3. Infecção: Ao logar, baixam um script shell malicioso.
4. Conexão C2: O servidor infectado conecta-se a um canal de IRC privado e fica "ouvindo" comandos (ex:
!ddos target_ip).
2. O Perigo da Configuração Padrão
O relatório aponta que a grande maioria das vítimas eram servidores mal configurados, com usuários `root` habilitados para login remoto e senhas que constam em dicionários comuns.
Deixar o SSH na porta 22 sem proteção (Fail2Ban ou CrowdSec) é um convite para milhares de tentativas de login por hora.
Além de participar de ataques DDoS, o servidor infectado geralmente tem sua CPU drenada por mineradores de criptomoedas ocultos.
1. Desabilite o login via senha no SSH (Use Chaves RSA/Ed25519).
2. Desabilite o login de root (`PermitRootLogin no` em sshd_config).
3. Bloqueie portas de saída não essenciais no Firewall (especialmente portas de IRC como 6660-6669) para impedir a comunicação com o C2.
Seu Servidor Linux Está Minerando para Hackers?
Lentidão inexplicável e alto uso de rede podem ser sinais de infecção. Realizamos Hardening de servidores Linux, auditoria de SSH e limpeza de malware.
Blindagem de Servidores LinuxConfiguração de Firewall, Fail2Ban e Monitoramento.
