Abo
  • Services:
Anzeige
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer.
Die Malware IpTables und IpTablex verwandelt Linux-Server in DDoS-Angreifer. (Bild: Synology Forum)

Botnetze: DDoS-Malware auf Linux-Servern entdeckt

Experten warnen vor Malware, die auf zahlreichen Linux-Servern entdeckt wurde. Mit ihr werden DDoS-Angriffe ausgeführt. Sie wird hauptsächlich über Schwachstellen in Apache und Tomcat installiert.

Anzeige

In den vergangenen Monaten haben Experten bei Akamai großflächige DDoS-Angriffe registriert, die über Linux-Server ausgeführt wurden. Über Schwachstellen in Apache Struts und Tomcat installierten Angreifer Malware namens IptabLes oder IptabLex. Darüber wurden die infizierten Server zu einem Botnet zusammengeschlossen, über das die Distributed-Denial-of-Services-Angriffe ausgeführt wurden. Offenbar sind auch NAS von Synology betroffen.

Für die eigentliche Installation der Malware werden Root-Rechte benötigt. Sie wird in den Verzeichnissen /boot oder /usr abgelegt und versucht, sich mit einem vorangesetzten Punkt im Dateinamen zu verstecken. Einmal ausgeführt, versucht die Malware, eine Verbindung zu zwei C&C-Servern aufzunehmen, von denen sie weitere Befehle erhält. Die IP-Adressen sind im Code der Malware und zeigen laut Akamai auf Server in China. In der Prozesstabelle sind Instanzen der Malware zu sehen. Außerdem trägt sich die Schadsoftware in die Startprozedur ein, genauer in die Runlevel 2, 3, 4 und 5.

Installation über Schwachstellen in Struts und Tomcat

Bislang befänden sich die infizierten Server hauptsächlich in Asien. Akamai warnt jedoch, dass inzwischen auch Rechner in den USA von dem Malware-Befall betroffen seien. Die Einbrecher nutzen dazu in erster Linie bereits geschlossene Sicherheitslücken in Apache Struts oder Tomcat sowie Elasticsearch. Es gebe aber auch weitere Einfallstore, die von den Angreifern genutzt werden, heißt es in dem entsprechenden PDF, das nach einer Registrierung kostenlos heruntergeladen werden kann.

Mit den beiden Bash-Befehlen

sudo find / -type f -name '.*ptabLe*' -exec rm -f {} ';'

und

ps -axu | awk '/\.IptabLe/ {print $2}' | sudo xargs kill -9

lässt sich die Malware zunächst entfernen und dann beenden. Außerdem sollten Betroffene nach den genannten Schwachstellen in Struts und Tomcat auf ihren Servern suchen und sie schließen. Für die Open-Source-Malware-Erkennung Yara gibt es bereits einen entsprechenden Eintrag für IpTables. Inzwischen erkennen Virustotal 26 von 55 der Virenerkennungsprogramme die Malware IptabLes und IptabLex. Die beiden Samples wurde von Malwaremustdie eingereicht, die bereits im Juni 2014 erste Infektionen auf Servern in China festettlten.


eye home zur Startseite
smeexs 27. Okt 2014

findest ? die meisten blödsinn über linux hör ich eigentlich immer nur von leuten die...

freddypad 30. Sep 2014

MIR schon, ja. :-)

nicoledos 04. Sep 2014

Die bringen diese mit, um es den Seitenbetreibern einfacher zu machen. Die Seiten sollen...

quadronom 04. Sep 2014

Weil?... Immer diese ganzen Leute, die denken, mit kwt ist es dann getan. Oder du bist...

ives.laaf 04. Sep 2014

Steht alles im PDF - wäre aber für einen Überblicksartikel bei Golem vielleicht etwas...



Anzeige

Stellenmarkt
  1. Hasso-Plattner-Institut für Softwaresystemtechnik GmbH, Potsdam
  2. Continental AG, Ingolstadt
  3. Statistisches Bundesamt, Wiesbaden
  4. Robert Bosch GmbH, Schwieberdingen


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 27,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Warum wird da nicht viel mehr Geld reingesteckt?

    bombinho | 02:30

  2. Re: Der schlaue Gamer holt sich den RyZen 1600X...

    burzum | 02:26

  3. Re: Interessante Idee...

    burzum | 02:22

  4. Design der App

    Gandalf2210 | 01:59

  5. Re: Versandkosten

    tool123 | 01:57


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel