Специалисты «Доктор Веб» предупреждают об обнаружении новой угрозы для Linux-систем. Троян Linux.Rex.1 написан на языке Go, и атакует сайты, работающие под управлением различных CMS, включая Drupal. Вредонос способен осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.
Linux.Rex.1 как раз организует ботнет второго типа. Такие ботнеты называются одноранговыми, пиринговыми или P2P-сетями. В архитектуре Linux.Rex.1 имеется собственная реализация протокола DHT, позволяющего обмениваться информацией с другими зараженными узлами и создавать таким образом децентрализованный P2P-ботнет.
После заражения трояном, компьютер работает как один из узлов этой сети. Linux.Rex.1 принимает управляющие директивы по протоколу HTTPS от других инфицированных компьютеров и при необходимости передает их дальше, другим узлам ботнета. По команде троян начинает или останавливает DDoS-атаку на узел с заданным IP-адресом.
С помощью специального модуля, используя библиотеку github.com/natefinch/pie, троян способен сканировать сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, WordPress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS. 
Еще одна функция Linux.Rex.1 — рассылка сообщений с угрозами по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, атакующие просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в биткоин эквиваленте. 
Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация. Взято с xakep.ru