Abo
  • Services:

Botnetze: DDoS-Malware auf Linux-Servern entdeckt

Experten warnen vor Malware, die auf zahlreichen Linux-Servern entdeckt wurde. Mit ihr werden DDoS-Angriffe ausgeführt. Sie wird hauptsächlich über Schwachstellen in Apache und Tomcat installiert.

Artikel veröffentlicht am ,
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer.
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer. (Bild: Synology Forum)

In den vergangenen Monaten haben Experten bei Akamai großflächige DDoS-Angriffe registriert, die über Linux-Server ausgeführt wurden. Über Schwachstellen in Apache Struts und Tomcat installierten Angreifer Malware namens IptabLes oder IptabLex. Darüber wurden die infizierten Server zu einem Botnet zusammengeschlossen, über das die Distributed-Denial-of-Services-Angriffe ausgeführt wurden. Offenbar sind auch NAS von Synology betroffen.

Stellenmarkt
  1. BAUER Aktiengesellschaft, Peine
  2. KfW Bankengruppe, Frankfurt am Main

Für die eigentliche Installation der Malware werden Root-Rechte benötigt. Sie wird in den Verzeichnissen /boot oder /usr abgelegt und versucht, sich mit einem vorangesetzten Punkt im Dateinamen zu verstecken. Einmal ausgeführt, versucht die Malware, eine Verbindung zu zwei C&C-Servern aufzunehmen, von denen sie weitere Befehle erhält. Die IP-Adressen sind im Code der Malware und zeigen laut Akamai auf Server in China. In der Prozesstabelle sind Instanzen der Malware zu sehen. Außerdem trägt sich die Schadsoftware in die Startprozedur ein, genauer in die Runlevel 2, 3, 4 und 5.

Installation über Schwachstellen in Struts und Tomcat

Bislang befänden sich die infizierten Server hauptsächlich in Asien. Akamai warnt jedoch, dass inzwischen auch Rechner in den USA von dem Malware-Befall betroffen seien. Die Einbrecher nutzen dazu in erster Linie bereits geschlossene Sicherheitslücken in Apache Struts oder Tomcat sowie Elasticsearch. Es gebe aber auch weitere Einfallstore, die von den Angreifern genutzt werden, heißt es in dem entsprechenden PDF, das nach einer Registrierung kostenlos heruntergeladen werden kann.

Mit den beiden Bash-Befehlen

sudo find / -type f -name '.*ptabLe*' -exec rm -f {} ';'

und

ps -axu | awk '/\.IptabLe/ {print $2}' | sudo xargs kill -9

lässt sich die Malware zunächst entfernen und dann beenden. Außerdem sollten Betroffene nach den genannten Schwachstellen in Struts und Tomcat auf ihren Servern suchen und sie schließen. Für die Open-Source-Malware-Erkennung Yara gibt es bereits einen entsprechenden Eintrag für IpTables. Inzwischen erkennen Virustotal 26 von 55 der Virenerkennungsprogramme die Malware IptabLes und IptabLex. Die beiden Samples wurde von Malwaremustdie eingereicht, die bereits im Juni 2014 erste Infektionen auf Servern in China festettlten.



Anzeige
Top-Angebote
  1. 99,00€
  2. 56,99€
  3. 65,99€
  4. 54,99€

smeexs 27. Okt 2014

findest ? die meisten blödsinn über linux hör ich eigentlich immer nur von leuten die...

freddypad 30. Sep 2014

MIR schon, ja. :-)

nicoledos 04. Sep 2014

Die bringen diese mit, um es den Seitenbetreibern einfacher zu machen. Die Seiten sollen...

quadronom 04. Sep 2014

Weil?... Immer diese ganzen Leute, die denken, mit kwt ist es dann getan. Oder du bist...

ives.laaf 04. Sep 2014

Steht alles im PDF - wäre aber für einen Überblicksartikel bei Golem vielleicht etwas...


Folgen Sie uns
       


Honor View 20 - Test

Das View 20 von Honor ist ein interessantes Smartphone: Für unter 600 Euro bekommen Käufer hochwertige Hardware im Oberklassebereich und eine der besten Kameras am Markt.

Honor View 20 - Test Video aufrufen
Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch

  1. Android, Debian, Sailfish OS Gemini PDA bekommt Dreifach-Boot-Option

    •  /