Abo
  • Services:
Anzeige
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer.
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer. (Bild: Synology Forum)

Botnetze: DDoS-Malware auf Linux-Servern entdeckt

Experten warnen vor Malware, die auf zahlreichen Linux-Servern entdeckt wurde. Mit ihr werden DDoS-Angriffe ausgeführt. Sie wird hauptsächlich über Schwachstellen in Apache und Tomcat installiert.

Anzeige

In den vergangenen Monaten haben Experten bei Akamai großflächige DDoS-Angriffe registriert, die über Linux-Server ausgeführt wurden. Über Schwachstellen in Apache Struts und Tomcat installierten Angreifer Malware namens IptabLes oder IptabLex. Darüber wurden die infizierten Server zu einem Botnet zusammengeschlossen, über das die Distributed-Denial-of-Services-Angriffe ausgeführt wurden. Offenbar sind auch NAS von Synology betroffen.

Für die eigentliche Installation der Malware werden Root-Rechte benötigt. Sie wird in den Verzeichnissen /boot oder /usr abgelegt und versucht, sich mit einem vorangesetzten Punkt im Dateinamen zu verstecken. Einmal ausgeführt, versucht die Malware, eine Verbindung zu zwei C&C-Servern aufzunehmen, von denen sie weitere Befehle erhält. Die IP-Adressen sind im Code der Malware und zeigen laut Akamai auf Server in China. In der Prozesstabelle sind Instanzen der Malware zu sehen. Außerdem trägt sich die Schadsoftware in die Startprozedur ein, genauer in die Runlevel 2, 3, 4 und 5.

Installation über Schwachstellen in Struts und Tomcat

Bislang befänden sich die infizierten Server hauptsächlich in Asien. Akamai warnt jedoch, dass inzwischen auch Rechner in den USA von dem Malware-Befall betroffen seien. Die Einbrecher nutzen dazu in erster Linie bereits geschlossene Sicherheitslücken in Apache Struts oder Tomcat sowie Elasticsearch. Es gebe aber auch weitere Einfallstore, die von den Angreifern genutzt werden, heißt es in dem entsprechenden PDF, das nach einer Registrierung kostenlos heruntergeladen werden kann.

Mit den beiden Bash-Befehlen

sudo find / -type f -name '.*ptabLe*' -exec rm -f {} ';'

und

ps -axu | awk '/\.IptabLe/ {print $2}' | sudo xargs kill -9

lässt sich die Malware zunächst entfernen und dann beenden. Außerdem sollten Betroffene nach den genannten Schwachstellen in Struts und Tomcat auf ihren Servern suchen und sie schließen. Für die Open-Source-Malware-Erkennung Yara gibt es bereits einen entsprechenden Eintrag für IpTables. Inzwischen erkennen Virustotal 26 von 55 der Virenerkennungsprogramme die Malware IptabLes und IptabLex. Die beiden Samples wurde von Malwaremustdie eingereicht, die bereits im Juni 2014 erste Infektionen auf Servern in China festettlten.


eye home zur Startseite
smeexs 27. Okt 2014

findest ? die meisten blödsinn über linux hör ich eigentlich immer nur von leuten die...

freddypad 30. Sep 2014

MIR schon, ja. :-)

nicoledos 04. Sep 2014

Die bringen diese mit, um es den Seitenbetreibern einfacher zu machen. Die Seiten sollen...

quadronom 04. Sep 2014

Weil?... Immer diese ganzen Leute, die denken, mit kwt ist es dann getan. Oder du bist...

ives.laaf 04. Sep 2014

Steht alles im PDF - wäre aber für einen Überblicksartikel bei Golem vielleicht etwas...



Anzeige

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  2. S. Siedle & Söhne Telefon- und Telegrafenwerke OHG, Furtwangen
  3. Daimler AG, Stuttgart
  4. Robert Bosch GmbH, Leonberg


Anzeige
Blu-ray-Angebote
  1. 149,99€ (Vorbesteller-Preisgarantie)
  2. 9,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Umsatzhalbierung

    Gopro macht 47 Prozent Minus

  2. Bankkonto entfernt

    Paypal hat Probleme mit Lastschriftzahlungen

  3. Apple

    Eine Milliarde iPhones verkauft

  4. Polaris-Grafikkarten

    AMD stellt Radeon RX 470 und RX 460 vor

  5. Windows 10 Anniversary Update

    Cortana wird zur alleinigen Suchfunktion

  6. Quartalsbericht

    Amazon schwimmt im Geld

  7. Software

    Oracle kauft Netsuite für 9,3 Milliarden US-Dollar

  8. Innovation Train

    Deutsche Bahn kooperiert mit Hyperloop

  9. International E-Sport Federation

    Alibaba steckt 150 Millionen US-Dollar in E-Sport

  10. Kartendienst

    Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

  1. Re: Um das mal realistisch zu sehen:

    burzum | 09:55

  2. Re: Mit anderen Worten...

    DAUVersteher | 09:54

  3. Re: Innovationen fehlen, irgendwann hat halt...

    SchmuseTigger | 09:54

  4. Re: 250.000¤ für Grundstück + "großes...

    dl01 | 09:53

  5. Re: Hyperloop ist fake

    Magroll | 09:52


  1. 07:39

  2. 07:27

  3. 07:10

  4. 06:00

  5. 23:26

  6. 22:58

  7. 22:43

  8. 18:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel