Niet alleen Windows desktops zijn het doelwit van botnetbeheerders die hun botnet willen uitbreiden, ook worden steeds vaker FTP, SSL en webservers overgenomen. De servers functioneren vaak als opslag voor kwaadaardige code of worden voor het versturen van spam gebruikt. Volgens de Finse virusbestrijder F-Secure zijn FTP server zeer geliefd bij cybercriminelen. "Wat we ook opmerkten is het gebruik van SSL-servers. Sites met een geldig SSL-certificaat worden gehackt en gebruikt voor drive-by downloads", zegt onderzoeker Mikko Hypponen.

Door een drive-by download via een HTTPS-verbinding te laten lopen, kunnen proxy en gateway scanners niet op malware scannen. "Daardoor is het eenvoudiger om binnen te dringen", gaat Hypponen verder. Inmiddels worden er botnets van servers gemaakt, die als een soort sub-botnets functioneren. "We zien nu botnets van servers. Wat interessant is, is dat dit netwerk van verbonden servers onder controle van één bepaalde persoon staat", aldus Andre DiMino van de Shadowserver Foundation. De servers moeten voornamelijk de uitbreiding van het botnet faciliteren.

Server-bots
Inmiddels zijn er ook speciale server-bots waargenomen, die via PHP en Perl servers tot spammachines omtoveren. "Het voordeel is dat er een enorme hoeveelheid bandbreedte en rekenkracht aanwezig is om de hoeveelheid te versturen spam te maximaliseren." Volgens beveiligingsonderzoeker Marc Maiffret rekruteren botnetbeheerders aanvallers die ervaring met het hacken van servers hebben. Maiffret verwacht dat legitieme websites volgend jaar dan ook de voornaamste bron van webaanvallen zullen zijn.