Abo
  • Services:
Anzeige
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer.
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer. (Bild: Synology Forum)

Botnetze: DDoS-Malware auf Linux-Servern entdeckt

Experten warnen vor Malware, die auf zahlreichen Linux-Servern entdeckt wurde. Mit ihr werden DDoS-Angriffe ausgeführt. Sie wird hauptsächlich über Schwachstellen in Apache und Tomcat installiert.

Anzeige

In den vergangenen Monaten haben Experten bei Akamai großflächige DDoS-Angriffe registriert, die über Linux-Server ausgeführt wurden. Über Schwachstellen in Apache Struts und Tomcat installierten Angreifer Malware namens IptabLes oder IptabLex. Darüber wurden die infizierten Server zu einem Botnet zusammengeschlossen, über das die Distributed-Denial-of-Services-Angriffe ausgeführt wurden. Offenbar sind auch NAS von Synology betroffen.

Für die eigentliche Installation der Malware werden Root-Rechte benötigt. Sie wird in den Verzeichnissen /boot oder /usr abgelegt und versucht, sich mit einem vorangesetzten Punkt im Dateinamen zu verstecken. Einmal ausgeführt, versucht die Malware, eine Verbindung zu zwei C&C-Servern aufzunehmen, von denen sie weitere Befehle erhält. Die IP-Adressen sind im Code der Malware und zeigen laut Akamai auf Server in China. In der Prozesstabelle sind Instanzen der Malware zu sehen. Außerdem trägt sich die Schadsoftware in die Startprozedur ein, genauer in die Runlevel 2, 3, 4 und 5.

Installation über Schwachstellen in Struts und Tomcat

Bislang befänden sich die infizierten Server hauptsächlich in Asien. Akamai warnt jedoch, dass inzwischen auch Rechner in den USA von dem Malware-Befall betroffen seien. Die Einbrecher nutzen dazu in erster Linie bereits geschlossene Sicherheitslücken in Apache Struts oder Tomcat sowie Elasticsearch. Es gebe aber auch weitere Einfallstore, die von den Angreifern genutzt werden, heißt es in dem entsprechenden PDF, das nach einer Registrierung kostenlos heruntergeladen werden kann.

Mit den beiden Bash-Befehlen

sudo find / -type f -name '.*ptabLe*' -exec rm -f {} ';'

und

ps -axu | awk '/\.IptabLe/ {print $2}' | sudo xargs kill -9

lässt sich die Malware zunächst entfernen und dann beenden. Außerdem sollten Betroffene nach den genannten Schwachstellen in Struts und Tomcat auf ihren Servern suchen und sie schließen. Für die Open-Source-Malware-Erkennung Yara gibt es bereits einen entsprechenden Eintrag für IpTables. Inzwischen erkennen Virustotal 26 von 55 der Virenerkennungsprogramme die Malware IptabLes und IptabLex. Die beiden Samples wurde von Malwaremustdie eingereicht, die bereits im Juni 2014 erste Infektionen auf Servern in China festettlten.


eye home zur Startseite
smeexs 27. Okt 2014

findest ? die meisten blödsinn über linux hör ich eigentlich immer nur von leuten die...

freddypad 30. Sep 2014

MIR schon, ja. :-)

nicoledos 04. Sep 2014

Die bringen diese mit, um es den Seitenbetreibern einfacher zu machen. Die Seiten sollen...

quadronom 04. Sep 2014

Weil?... Immer diese ganzen Leute, die denken, mit kwt ist es dann getan. Oder du bist...

ives.laaf 04. Sep 2014

Steht alles im PDF - wäre aber für einen Überblicksartikel bei Golem vielleicht etwas...



Anzeige

Stellenmarkt
  1. Atlas Copco - Synatec GmbH, Stuttgart
  2. ING-DiBa AG, Nürnberg
  3. JOB AG Industrial Service GmbH, Kassel
  4. FTI Touristik GmbH, München


Anzeige
Hardware-Angebote
  1. jetzt bei Caseking

Folgen Sie uns
       


  1. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  2. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  3. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  4. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land

  5. Liberty Global

    Unitymedia-Mutterkonzern hat Probleme mit Amazon

  6. 18 Milliarden Dollar

    Finanzinvestor Bain übernimmt Toshibas Speichergeschäft

  7. Bundestagswahl

    Innenminister sieht bislang keine Einmischung Russlands

  8. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  9. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  10. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Ein Beitrag voller Grenzfälle

    as (Golem.de) | 00:50

  2. Re: Funktioniert Netflix denn mittlerweile bei UM?

    Xiut | 00:46

  3. Re: von denen sechs sitzen können

    Patman | 00:44

  4. Re: Ganz klare Hinweise auf den Russischen...

    kelzinc | 00:36

  5. Hinweis zu Android Apps

    bbhermann | 00:11


  1. 18:10

  2. 17:45

  3. 17:17

  4. 16:47

  5. 16:32

  6. 16:22

  7. 16:16

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel