Abo
  • Services:
Anzeige
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten.
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten. (Bild: Ross Burgess)

Malware: DDoS-Trojaner für Linux entdeckt

Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten.
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten. (Bild: Ross Burgess)

Mit einem bereits aktiven Trojaner für Linux können Angreifer infizierte Rechner nutzen, um DDoS-Angriffe durchzuführen. Er nistet sich unter dem Namen iptables6 ins System ein.

Anzeige

Linux.BackDoor.Xnote.1 nennt sich ein neu entdeckter Trojaner. Mit ihm lassen sich Linux-Rechner für DDoS-Angriffe missbrauchen. Er lässt sich auch als Client eines C&C-Servers nutzen. Damit können Angreifer auch beliebige Dateien aus der Ferne hochladen und ausführen. Der russische Hersteller der Antivirensoftware Dr. Web will auf Grund einer Code-Analyse die Urheber in China festmachen. Es soll sich um die Hackergruppe ChinaZ handeln.

Der Trojaner installiert sich mit dem Dateinamen iptables6 im Bin-Verzeichnis. Für die Installation benötigen Angreifer jedoch Root-Rechte. Bislang seien die gefundenen Exemplare auf Linux-Systemen entdeckt worden, die die Angreifer über Brueforce-Angriffe auf SSH-Verbindungen knackten. Wie weit verbreitet der Trojaner ist, erwähnt der Blogeintrag nicht, wohl aber, dass die Antivirensoftware des Herstellers die Malware erkennt und entfernt.

Vollzugriff

Nach der detaillierten Beschreibung dürfte Linux.BackDoor.Xnote.1 auch ohne Software leicht aufzuspüren und entfernen sein. Er wird als Daemon beim Systemstart aufgerufen. Dazu trägt er bei der Installation eine Zeile mit einem Startbefehl in ein offenbar beliebiges Skript im Verzeichnis /etc/init.d ein. Im laufenden Betrieb legt die Malware die Lock-Datei /tmp/.wq4sMLArXw an. An dieser erkennt die Malware auch, ob sie bereits auf einem Rechner installiert ist. Optional legt die Malware auch eine Log-Datei im Verzeichnis /etc/.Xserver_note an. Mit ihr lassen sich Angriffe per SYN-, UDP- und HTTP-Flooding sowie NTP-Reflection-Angriffe starten. Jeder infizierte Rechner erhält eine eigene UID, über die ihn der C&C-Server identifizieren kann.

Neben einer integrierten Updatefunktion kann sich der Trojaner auch selbst löschen. Außerdem kann er Informationen über das System einholen, etwa Dateilisten, oder über die Blockgröße und die Inodes eines Dateisystems. Ferner kann er vom C&C-Server versandte Dateien akzeptieren und sie auch ausführen. Zudem ist die Malware in der Lage, einen eigenen Socks-Server starten, mit dem er sich zu seinem C&C-Server verbinden kann. Auch einen eigenen Portmap-Server kann der Trojaner starten.


eye home zur Startseite
ccmomi 12. Feb 2015

Nicht wenn es um Sicherheit geht und der Admin fachlich kompetent genug ist um seine...

apfelfrosch 11. Feb 2015

Das ist ja der Trick dieser Malware, dass sie so tut als ob und so den User oder den...

tunnelblick 11. Feb 2015

"Als Trojanisches Pferd (englisch Trojan Horse), im EDV-Jargon auch kurz Trojaner...

tunnelblick 11. Feb 2015

naja, "über ssh rootzugriff" kann aber auch bedeuten, dass man den ssh-zugang von hans...



Anzeige

Stellenmarkt
  1. Schwarz Dienstleistung KG, Neckarsulm
  2. Bertrandt Services GmbH, Weil im Schönbuch bei Stuttgart
  3. Camelot ITLab GmbH, Mannheim, Köln, München
  4. Home Shopping Europe GmbH, Ismaning Raum München


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. LTE

    Taiwan schaltet nach 2G- auch 3G-Netz ab

  2. Two Point Hospital

    Sega stellt Quasi-Nachfolger zu Theme Hospital vor

  3. Callya

    Vodafones Prepaid-Tarife erhalten mehr Datenvolumen

  4. Skygofree

    Kaspersky findet mutmaßlichen Staatstrojaner

  5. World of Warcraft

    Schwierigkeitsgrad skaliert in ganz Azeroth

  6. Open Source

    Microsoft liefert Curl in Windows 10 aus

  7. Boeing und SpaceX

    Experten warnen vor Sicherheitsmängeln bei Raumfähren

  8. Tencent

    Lego will mit Tencent in China digital expandieren

  9. Beta-Update

    Gesichtsentsperrung für Oneplus Three und 3T verfügbar

  10. Matthias Maurer

    Ein Astronaut taucht unter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
EU-Netzpolitik
Mit vollen Hosen in die App-ocalypse

Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

Kryptowährungen: Von Tulpen, Berg- und Talfahrten
Kryptowährungen
Von Tulpen, Berg- und Talfahrten
  1. Bitcoin Israels Marktaufsicht will Kryptoverbot an Börse durchsetzen
  2. Geldwäsche EU will den Bitcoin weniger anonym machen
  3. Kryptowährung 4.700 Bitcoin von Handelsplattform Nicehash gestohlen

  1. Re: Was sind das für Preise?

    Kakiss | 00:21

  2. Re: Da hat mal wieder jemand keine Ahnung

    chrysaor1024 | 00:20

  3. Re: Was wird denn da erforscht?

    thinksimple | 00:20

  4. Re: Sinnlos

    neocron | 00:17

  5. Re: Das war Golem!

    bombinho | 00:15


  1. 19:16

  2. 17:48

  3. 17:00

  4. 16:25

  5. 15:34

  6. 15:05

  7. 14:03

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel