**Актуально на 20 сентября 2025**
Аренда бюджетного VPS сегодня — это не только быстрый способ запустить сайт или сервис, но и риск непреднамеренно «вложиться» в киберпреступность. Исследователи описали масштабную эксплуатацию арендованных виртуальных серверов ботнетом SystemBC: злоумышленники специально охотятся за машинами с не закрытыми критическими уязвимостями, взламывают их и превращают в узлы прокси‑сетей. Через такие цепочки маскируют фишинг, рассылки малвари, сканирование новых целей и обфускацию командно‑контрольной инфраструктуры.
Согласно публикации, ежедневно в составе SystemBC активно держатся порядка полутора тысяч ботов; обнаружено свыше восьмидесяти управляющих серверов, через которые прокачивается трафик клиентов. Заражённые VPS часто используются как «опорные точки» для других коммерческих прокси‑сервисов: часть платформ прямо зависит от SystemBC, а их «качество» для покупателей определяется пропускной способностью и «живучестью» скомпрометированных узлов. Исследователи приводят показательную деталь: один IP сумел прокачать свыше 16 ГБ прокси‑данных за сутки — цифра, которая нехарактерна для бытовых ботнетов на базе SOHO‑девайсов.
Как пополняется такая сеть? Помимо эксплуатации известных уязвимостей в публичных сервисах, авторы отмечают массовый брут‑форс CMS (прежде всего WordPress) и использование слабых/утекших паролей. Дальше на сервер доставляется «транспортная» малварь SystemBC, которая поднимает прокси и подключает машину к инфраструктуре. В ряде случаев заражённые хосты становились частью более объёмных схем: через них «размывается» след управляющих серверов, проксируется доступ к панелям и API, а также поднимаются цепочки для сканирования и подборов.
Почему это важно именно для российского сегмента? Во‑первых, значимая доля дешёвых VPS, нацеленных на Runet, арендуется без сопровождения и регулярного администрирования. Во‑вторых, в отчёте упомянуты клиенты из русскоязычного пространства, для которых стабильные прокси — часть рабочего процесса (например, веб‑скрапинг). Наконец, злоумышленники всё чаще используют «коммерческие» VPS вместо заражённых домашних роутеров: так достигается большая пропускная способность и меньше отказов.
**Признаки компрометации**: резкий рост исходящего трафика по нестандартным портам; процессы‑«двойники» системных сервисов; подозрительные соединения к новым ASN; всплески HTTP CONNECT; а также несвойственные серверу объёмы DNS‑/TLS‑сессий.
**Что делать администраторам VPS**
1) Немедленно актуализировать ОС и все интернет‑экспонированные сервисы; закрыть известные CVE для вашей сборки.
2) Отключить вход по паролю в SSH (только ключи), ограничить доступ по IP, включить Fail2ban/sshguard.
3) Провести аудит CMS/плагинов, сменить пароли, включить MFA в панели хостинга.
4) Поставить локальный EDR/antimalware c сетевой телеметрией; в Nginx/Apache — включить модуль WAF.
5) Регулярно сравнивать образы, искать внезапно появившиеся бинарники/службы, мониторить нетипичные порты и резкие «скачки» исходящего трафика.
6) При выявлении прокси‑активности — изолировать ВМ, переустановить из доверенного образа, заменить все секреты.
Если вы используете прокси‑услуги для бизнеса (например, скрапинг), убедитесь, что провайдер работает на «чистых» пулах и может документально подтвердить законность источника узлов. Иначе есть риск блокировок и юридических претензий.
**Вывод.** Ставка преступников на взломанные VPS — это уже не «экзотика», а конвейер. Своевременные патчи, жёсткая аутентификация и базовая сетёвая гигиена радикально снижают вероятность того, что ваш сервер окажется «кирпичиком» в чужой прокси‑ферме.
Источник: SecurityLab
