Anzeige
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten.
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten. (Bild: Ross Burgess)

Malware: DDoS-Trojaner für Linux entdeckt

Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten.
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten. (Bild: Ross Burgess)

Mit einem bereits aktiven Trojaner für Linux können Angreifer infizierte Rechner nutzen, um DDoS-Angriffe durchzuführen. Er nistet sich unter dem Namen iptables6 ins System ein.

Anzeige

Linux.BackDoor.Xnote.1 nennt sich ein neu entdeckter Trojaner. Mit ihm lassen sich Linux-Rechner für DDoS-Angriffe missbrauchen. Er lässt sich auch als Client eines C&C-Servers nutzen. Damit können Angreifer auch beliebige Dateien aus der Ferne hochladen und ausführen. Der russische Hersteller der Antivirensoftware Dr. Web will auf Grund einer Code-Analyse die Urheber in China festmachen. Es soll sich um die Hackergruppe ChinaZ handeln.

Der Trojaner installiert sich mit dem Dateinamen iptables6 im Bin-Verzeichnis. Für die Installation benötigen Angreifer jedoch Root-Rechte. Bislang seien die gefundenen Exemplare auf Linux-Systemen entdeckt worden, die die Angreifer über Brueforce-Angriffe auf SSH-Verbindungen knackten. Wie weit verbreitet der Trojaner ist, erwähnt der Blogeintrag nicht, wohl aber, dass die Antivirensoftware des Herstellers die Malware erkennt und entfernt.

Vollzugriff

Nach der detaillierten Beschreibung dürfte Linux.BackDoor.Xnote.1 auch ohne Software leicht aufzuspüren und entfernen sein. Er wird als Daemon beim Systemstart aufgerufen. Dazu trägt er bei der Installation eine Zeile mit einem Startbefehl in ein offenbar beliebiges Skript im Verzeichnis /etc/init.d ein. Im laufenden Betrieb legt die Malware die Lock-Datei /tmp/.wq4sMLArXw an. An dieser erkennt die Malware auch, ob sie bereits auf einem Rechner installiert ist. Optional legt die Malware auch eine Log-Datei im Verzeichnis /etc/.Xserver_note an. Mit ihr lassen sich Angriffe per SYN-, UDP- und HTTP-Flooding sowie NTP-Reflection-Angriffe starten. Jeder infizierte Rechner erhält eine eigene UID, über die ihn der C&C-Server identifizieren kann.

Neben einer integrierten Updatefunktion kann sich der Trojaner auch selbst löschen. Außerdem kann er Informationen über das System einholen, etwa Dateilisten, oder über die Blockgröße und die Inodes eines Dateisystems. Ferner kann er vom C&C-Server versandte Dateien akzeptieren und sie auch ausführen. Zudem ist die Malware in der Lage, einen eigenen Socks-Server starten, mit dem er sich zu seinem C&C-Server verbinden kann. Auch einen eigenen Portmap-Server kann der Trojaner starten.


eye home zur Startseite
ccmomi 12. Feb 2015

Nicht wenn es um Sicherheit geht und der Admin fachlich kompetent genug ist um seine...

apfelfrosch 11. Feb 2015

Das ist ja der Trick dieser Malware, dass sie so tut als ob und so den User oder den...

tunnelblick 11. Feb 2015

"Als Trojanisches Pferd (englisch Trojan Horse), im EDV-Jargon auch kurz Trojaner...

tunnelblick 11. Feb 2015

naja, "über ssh rootzugriff" kann aber auch bedeuten, dass man den ssh-zugang von hans...



Anzeige

Stellenmarkt
  1. Bertrandt Technikum GmbH, Eh­nin­gen
  2. redcoon Logistics GmbH, Erfurt
  3. PENTASYS AG, München
  4. T-Systems International GmbH, Leinfelden-Echterdingen


Anzeige
Spiele-Angebote
  1. 59,99€ (Vorbesteller-Preisgarantie)
  2. 169,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Cyberark
  2. Mehr dazu im aktuellen Whitepaper von SAS Institute
  3. Mehr dazu im aktuellen Whitepaper von HP


  1. Die Woche im Video

    Der Preis ist heiß und der Trick nicht mehr billig

  2. Netzausbau

    Telekom will ihre Mobilfunkmasten verkaufen

  3. Bruno Kahl

    Neuer BND-Chef soll den Dienst reformieren

  4. Onlinehandel

    Amazon sperrt Konten angeblich nur in seltenen Fällen

  5. The Assembly angespielt

    Verschwörung im Labor

  6. Kreditkarten

    Number26 wird Betrug mit Standortdaten verhindern

  7. Dobrindt

    1,3 Milliarden Euro mehr für Breitbandausbau in Deutschland

  8. Mini ITX OC

    Gigabyte bringt eine 17 cm kurze Geforce GTX 1070

  9. Autonomes Fahren

    Teslas Autopilot war an tödlichem Unfall beteiligt

  10. Tolino Page

    Günstiger Kindle-Konkurrent hat eine bessere Ausstattung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Wars Lego im Test: Das Erwachen der Lustigkeit
Star Wars Lego im Test
Das Erwachen der Lustigkeit
  1. Mixed Reality Lucasfilm und Magic Leap bringen Star Wars ins Wohnzimmer
  2. Playstation Kriegsgott statt neuer Konsolenhardware
  3. Trials on Tatooine Wie Lucasfilm Star Wars in die Virtual Reality gebracht hat

Axon 7 im Hands on: Oneplus bekommt starke Konkurrenz
Axon 7 im Hands on
Oneplus bekommt starke Konkurrenz
  1. Axon 7 ZTEs Topsmartphone kommt für 450 Euro nach Deutschland

Bargeld nervt: Startups und Kryptowährungen mischen die Finanzbranche auf
Bargeld nervt
Startups und Kryptowährungen mischen die Finanzbranche auf
  1. BND-Gesetzreform Voller Zugriff auf die Kabel der Telekom
  2. Faster Googles Seekabel ist fertig
  3. Onlinehandel Amazon droht nach vier Rücksendungen mit Kontensperrung

  1. Re: Saudämliche Entscheidung und fast nutzlos

    Kleba | 09:03

  2. Re: wenn amazon Kleidung verkaufen will, müssen...

    Braineh | 09:02

  3. Re: Halb-OT: Aufsummierung aller Förderungen?

    RipClaw | 08:59

  4. Re: Mal ein paar Infos von einem FBA Verkäufer.

    sydthe | 08:59

  5. Re: Geht's noch?

    SoniX | 08:56


  1. 09:02

  2. 20:04

  3. 17:04

  4. 16:53

  5. 16:22

  6. 14:58

  7. 14:33

  8. 14:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel