Abo
  • Services:
Anzeige
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten.
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten. (Bild: Ross Burgess)

Malware: DDoS-Trojaner für Linux entdeckt

Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten.
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten. (Bild: Ross Burgess)

Mit einem bereits aktiven Trojaner für Linux können Angreifer infizierte Rechner nutzen, um DDoS-Angriffe durchzuführen. Er nistet sich unter dem Namen iptables6 ins System ein.

Anzeige

Linux.BackDoor.Xnote.1 nennt sich ein neu entdeckter Trojaner. Mit ihm lassen sich Linux-Rechner für DDoS-Angriffe missbrauchen. Er lässt sich auch als Client eines C&C-Servers nutzen. Damit können Angreifer auch beliebige Dateien aus der Ferne hochladen und ausführen. Der russische Hersteller der Antivirensoftware Dr. Web will auf Grund einer Code-Analyse die Urheber in China festmachen. Es soll sich um die Hackergruppe ChinaZ handeln.

Der Trojaner installiert sich mit dem Dateinamen iptables6 im Bin-Verzeichnis. Für die Installation benötigen Angreifer jedoch Root-Rechte. Bislang seien die gefundenen Exemplare auf Linux-Systemen entdeckt worden, die die Angreifer über Brueforce-Angriffe auf SSH-Verbindungen knackten. Wie weit verbreitet der Trojaner ist, erwähnt der Blogeintrag nicht, wohl aber, dass die Antivirensoftware des Herstellers die Malware erkennt und entfernt.

Vollzugriff

Nach der detaillierten Beschreibung dürfte Linux.BackDoor.Xnote.1 auch ohne Software leicht aufzuspüren und entfernen sein. Er wird als Daemon beim Systemstart aufgerufen. Dazu trägt er bei der Installation eine Zeile mit einem Startbefehl in ein offenbar beliebiges Skript im Verzeichnis /etc/init.d ein. Im laufenden Betrieb legt die Malware die Lock-Datei /tmp/.wq4sMLArXw an. An dieser erkennt die Malware auch, ob sie bereits auf einem Rechner installiert ist. Optional legt die Malware auch eine Log-Datei im Verzeichnis /etc/.Xserver_note an. Mit ihr lassen sich Angriffe per SYN-, UDP- und HTTP-Flooding sowie NTP-Reflection-Angriffe starten. Jeder infizierte Rechner erhält eine eigene UID, über die ihn der C&C-Server identifizieren kann.

Neben einer integrierten Updatefunktion kann sich der Trojaner auch selbst löschen. Außerdem kann er Informationen über das System einholen, etwa Dateilisten, oder über die Blockgröße und die Inodes eines Dateisystems. Ferner kann er vom C&C-Server versandte Dateien akzeptieren und sie auch ausführen. Zudem ist die Malware in der Lage, einen eigenen Socks-Server starten, mit dem er sich zu seinem C&C-Server verbinden kann. Auch einen eigenen Portmap-Server kann der Trojaner starten.


eye home zur Startseite
ccmomi 12. Feb 2015

Nicht wenn es um Sicherheit geht und der Admin fachlich kompetent genug ist um seine...

apfelfrosch 11. Feb 2015

Das ist ja der Trick dieser Malware, dass sie so tut als ob und so den User oder den...

tunnelblick 11. Feb 2015

"Als Trojanisches Pferd (englisch Trojan Horse), im EDV-Jargon auch kurz Trojaner...

tunnelblick 11. Feb 2015

naja, "über ssh rootzugriff" kann aber auch bedeuten, dass man den ssh-zugang von hans...



Anzeige

Stellenmarkt
  1. CAL Consult GmbH, Nürnberg
  2. Ratbacher GmbH, Hamburg
  3. Völkl Sports GmbH & Co. KG, Straubing, Raum Regensburg / Deggendorf
  4. SICK AG, Reute bei Freiburg im Breisgau


Anzeige
Top-Angebote
  1. (u. a. Laptops, Werkzeuge, Outdoor-Spielzeug, Grills usw.)
  2. (u. a. Bose Soundlink Mini Bluetooth Speaker II 149,90€, Bose SOUNDSPORT PULSE WIRELESS 174,90€)
  3. (u. a. Makita Bohrhammer HR2470 94,90€, Makita Akku-Bohrschrauber uvm.)

Folgen Sie uns
       


  1. Auftragsfertiger

    Samsung erweitert Roadmap bis 4 nm plus EUV

  2. Fake News

    Ägypten blockiert 21 Internetmedien

  3. Bungie

    Destiny 2 mischt Peer-to-Peer und dedizierte Server

  4. Rocketlabs

    Neuseeländische Rakete erreicht den Weltraum

  5. Prozessor

    Intel wird Thunderbolt 3 in CPUs integrieren

  6. Debatte nach Wanna Cry

    Sicherheitslücken veröffentlichen oder zurückhacken?

  7. Drohne

    DJI Spark ist ein winziger Spaßcopter mit Gestensteuerung

  8. Virb 360

    Garmins erste 360-Grad-Kamera nimmt 5,7K-Videos auf

  9. Digitalkamera

    Ricoh WG-50 soll Fotos bei extremen Bedingungen ermöglichen

  10. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

  1. Re: Coole Sache aber,

    Niaxa | 11:34

  2. Re: Alles veröffentlichen

    David64Bit | 11:33

  3. Re: 1400W... für welche Hardware?

    Geddo2k | 11:33

  4. Re: Sieht für 350 Euro ganz schön billig aus.

    Niaxa | 11:29

  5. Re: Wasser dicht nur bis 10m

    a140829 | 11:28


  1. 11:50

  2. 11:30

  3. 11:10

  4. 10:50

  5. 10:22

  6. 09:02

  7. 08:28

  8. 07:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel