Abo
  • Services:
Anzeige
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer.
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer. (Bild: Synology Forum)

Botnetze: DDoS-Malware auf Linux-Servern entdeckt

Experten warnen vor Malware, die auf zahlreichen Linux-Servern entdeckt wurde. Mit ihr werden DDoS-Angriffe ausgeführt. Sie wird hauptsächlich über Schwachstellen in Apache und Tomcat installiert.

Anzeige

In den vergangenen Monaten haben Experten bei Akamai großflächige DDoS-Angriffe registriert, die über Linux-Server ausgeführt wurden. Über Schwachstellen in Apache Struts und Tomcat installierten Angreifer Malware namens IptabLes oder IptabLex. Darüber wurden die infizierten Server zu einem Botnet zusammengeschlossen, über das die Distributed-Denial-of-Services-Angriffe ausgeführt wurden. Offenbar sind auch NAS von Synology betroffen.

Für die eigentliche Installation der Malware werden Root-Rechte benötigt. Sie wird in den Verzeichnissen /boot oder /usr abgelegt und versucht, sich mit einem vorangesetzten Punkt im Dateinamen zu verstecken. Einmal ausgeführt, versucht die Malware, eine Verbindung zu zwei C&C-Servern aufzunehmen, von denen sie weitere Befehle erhält. Die IP-Adressen sind im Code der Malware und zeigen laut Akamai auf Server in China. In der Prozesstabelle sind Instanzen der Malware zu sehen. Außerdem trägt sich die Schadsoftware in die Startprozedur ein, genauer in die Runlevel 2, 3, 4 und 5.

Installation über Schwachstellen in Struts und Tomcat

Bislang befänden sich die infizierten Server hauptsächlich in Asien. Akamai warnt jedoch, dass inzwischen auch Rechner in den USA von dem Malware-Befall betroffen seien. Die Einbrecher nutzen dazu in erster Linie bereits geschlossene Sicherheitslücken in Apache Struts oder Tomcat sowie Elasticsearch. Es gebe aber auch weitere Einfallstore, die von den Angreifern genutzt werden, heißt es in dem entsprechenden PDF, das nach einer Registrierung kostenlos heruntergeladen werden kann.

Mit den beiden Bash-Befehlen

sudo find / -type f -name '.*ptabLe*' -exec rm -f {} ';'

und

ps -axu | awk '/\.IptabLe/ {print $2}' | sudo xargs kill -9

lässt sich die Malware zunächst entfernen und dann beenden. Außerdem sollten Betroffene nach den genannten Schwachstellen in Struts und Tomcat auf ihren Servern suchen und sie schließen. Für die Open-Source-Malware-Erkennung Yara gibt es bereits einen entsprechenden Eintrag für IpTables. Inzwischen erkennen Virustotal 26 von 55 der Virenerkennungsprogramme die Malware IptabLes und IptabLex. Die beiden Samples wurde von Malwaremustdie eingereicht, die bereits im Juni 2014 erste Infektionen auf Servern in China festettlten.


eye home zur Startseite
smeexs 27. Okt 2014

findest ? die meisten blödsinn über linux hör ich eigentlich immer nur von leuten die...

freddypad 30. Sep 2014

MIR schon, ja. :-)

nicoledos 04. Sep 2014

Die bringen diese mit, um es den Seitenbetreibern einfacher zu machen. Die Seiten sollen...

quadronom 04. Sep 2014

Weil?... Immer diese ganzen Leute, die denken, mit kwt ist es dann getan. Oder du bist...

ives.laaf 04. Sep 2014

Steht alles im PDF - wäre aber für einen Überblicksartikel bei Golem vielleicht etwas...



Anzeige

Stellenmarkt
  1. Deutsche Bundesstiftung Umwelt, Osnabrück
  2. DIEBOLD NIXDORF, Paderborn
  3. über Harvey Nash GmbH, Köln
  4. Daimler AG, Stuttgart


Anzeige
Spiele-Angebote
  1. 0,99€
  2. 7,49€
  3. 9,99€

Folgen Sie uns
       


  1. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  2. Mobile

    Razer soll Smartphone für Gamer planen

  3. Snail Games

    Dark and Light stürmt Steam

  4. IETF

    Netzwerker wollen Quic-Pakete tracken

  5. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  6. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  7. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa

  8. Kabel und DSL

    Vodafone gewinnt 100.000 neue Festnetzkunden

  9. New Technologies Group

    Intel macht Wearables-Sparte dicht

  10. Elektromobilität

    Staatliche Finanzhilfen elektrisieren Norwegen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Handyortung: Wir ahnungslosen Insassen der Funkzelle
Handyortung
Wir ahnungslosen Insassen der Funkzelle
  1. Bundestrojaner BKA will bald Messengerdienste hacken können
  2. Bundestrojaner Österreich will Staatshackern Wohnungseinbrüche erlauben
  3. Staatstrojaner Finfishers Schnüffelsoftware ist noch nicht einsatzbereit

48-Volt-Systeme: Bosch setzt auf Boom für kompakte Elektroantriebe
48-Volt-Systeme
Bosch setzt auf Boom für kompakte Elektroantriebe
  1. Elektromobilität Shell stellt Ladesäulen an Tankstellen auf
  2. Ifo-Studie Autoindustrie durch Verbrennungsmotorverbot in Gefahr
  3. Mobilität Elektroautos deutscher Start-ups fordern Autobauer heraus

Anwendungen für Quantencomputer: Der Spuk in Ihrem Computer
Anwendungen für Quantencomputer
Der Spuk in Ihrem Computer
  1. Quantencomputer Ein Forscher in den unergründlichen Weiten des Hilbertraums
  2. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  3. Quantenoptik Vom Batman-Fan zum Quantenphysiker

  1. Re: Nur Laien komprimieren

    css_profit | 17:10

  2. Re: Strompreise

    Flexy | 17:09

  3. Re: Wer kauf den noch ein gerät mit 4.4

    DetlevCM | 17:09

  4. Perfekt für Razer Kunden!

    SchmuseTigger | 17:08

  5. Re: Preis schon bekannt

    Hotohori | 17:07


  1. 16:55

  2. 16:33

  3. 16:10

  4. 15:56

  5. 15:21

  6. 14:10

  7. 14:00

  8. 12:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel