Abo
  • Services:
Anzeige
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten.
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten. (Bild: Ross Burgess)

Malware: DDoS-Trojaner für Linux entdeckt

Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten.
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten. (Bild: Ross Burgess)

Mit einem bereits aktiven Trojaner für Linux können Angreifer infizierte Rechner nutzen, um DDoS-Angriffe durchzuführen. Er nistet sich unter dem Namen iptables6 ins System ein.

Anzeige

Linux.BackDoor.Xnote.1 nennt sich ein neu entdeckter Trojaner. Mit ihm lassen sich Linux-Rechner für DDoS-Angriffe missbrauchen. Er lässt sich auch als Client eines C&C-Servers nutzen. Damit können Angreifer auch beliebige Dateien aus der Ferne hochladen und ausführen. Der russische Hersteller der Antivirensoftware Dr. Web will auf Grund einer Code-Analyse die Urheber in China festmachen. Es soll sich um die Hackergruppe ChinaZ handeln.

Der Trojaner installiert sich mit dem Dateinamen iptables6 im Bin-Verzeichnis. Für die Installation benötigen Angreifer jedoch Root-Rechte. Bislang seien die gefundenen Exemplare auf Linux-Systemen entdeckt worden, die die Angreifer über Brueforce-Angriffe auf SSH-Verbindungen knackten. Wie weit verbreitet der Trojaner ist, erwähnt der Blogeintrag nicht, wohl aber, dass die Antivirensoftware des Herstellers die Malware erkennt und entfernt.

Vollzugriff

Nach der detaillierten Beschreibung dürfte Linux.BackDoor.Xnote.1 auch ohne Software leicht aufzuspüren und entfernen sein. Er wird als Daemon beim Systemstart aufgerufen. Dazu trägt er bei der Installation eine Zeile mit einem Startbefehl in ein offenbar beliebiges Skript im Verzeichnis /etc/init.d ein. Im laufenden Betrieb legt die Malware die Lock-Datei /tmp/.wq4sMLArXw an. An dieser erkennt die Malware auch, ob sie bereits auf einem Rechner installiert ist. Optional legt die Malware auch eine Log-Datei im Verzeichnis /etc/.Xserver_note an. Mit ihr lassen sich Angriffe per SYN-, UDP- und HTTP-Flooding sowie NTP-Reflection-Angriffe starten. Jeder infizierte Rechner erhält eine eigene UID, über die ihn der C&C-Server identifizieren kann.

Neben einer integrierten Updatefunktion kann sich der Trojaner auch selbst löschen. Außerdem kann er Informationen über das System einholen, etwa Dateilisten, oder über die Blockgröße und die Inodes eines Dateisystems. Ferner kann er vom C&C-Server versandte Dateien akzeptieren und sie auch ausführen. Zudem ist die Malware in der Lage, einen eigenen Socks-Server starten, mit dem er sich zu seinem C&C-Server verbinden kann. Auch einen eigenen Portmap-Server kann der Trojaner starten.


eye home zur Startseite
ccmomi 12. Feb 2015

Nicht wenn es um Sicherheit geht und der Admin fachlich kompetent genug ist um seine...

apfelfrosch 11. Feb 2015

Das ist ja der Trick dieser Malware, dass sie so tut als ob und so den User oder den...

tunnelblick 11. Feb 2015

"Als Trojanisches Pferd (englisch Trojan Horse), im EDV-Jargon auch kurz Trojaner...

tunnelblick 11. Feb 2015

naja, "über ssh rootzugriff" kann aber auch bedeuten, dass man den ssh-zugang von hans...



Anzeige

Stellenmarkt
  1. TE Connectivity Germany GmbH, Bensheim
  2. über JobLeads GmbH, Wuppertal
  3. SICK AG, Karlsruhe
  4. über Robert Half Technology, Stuttgart


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Bestimmung, Life of Pi, House of Wax, Predator, Der Polarexpress, X-Men)
  2. (u. a. Interstellar, Mad Max, Codename UNCLE, American Sniper, San Andreas)
  3. 22,96€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  2. Internetsicherheit

    Die CDU will Cybersouverän werden

  3. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  4. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone

  5. XPG SX8000

    Adatas erste PCIe-NVMe-SSD nutzt bewährte Komponenten

  6. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  7. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  8. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland

  9. Kaufberatung

    Das richtige Solid-State-Drive

  10. Android-Smartphone

    Huawei bringt Nova Plus doch nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mi Notebook Air im Test: Xiaomis geglückte Notebook-Premiere
Mi Notebook Air im Test
Xiaomis geglückte Notebook-Premiere
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App
  3. Xiaomi Hugo Barra verkündet Premium-Smartphone

DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

Fifa 17 im Test: Mehr Drama auf dem Fußballplatz
Fifa 17 im Test
Mehr Drama auf dem Fußballplatz
  1. Fifa 17 Was macht Dragon Age in meiner Fifa-Demo?
  2. Electronic Arts Millionenliga mit dem Ultimate Team
  3. Fifa 17 Sonderpartnerschaft mit den Bayern

  1. Re: endlich wird's den deutschen autobauern mal...

    Ach | 20:26

  2. Re: Bei wenig RAM von SSDs abraten??

    honna1612 | 20:24

  3. So eine Verschwendung von Steuergeldern

    derdiedas | 20:16

  4. Re: googelt mal PancasTV (Kodi-Addon)...

    Zeroslammer | 20:14

  5. Re: MX200 vs MX300

    Neuro-Chef | 20:07


  1. 19:24

  2. 19:05

  3. 18:25

  4. 17:29

  5. 14:07

  6. 13:45

  7. 13:18

  8. 12:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel