• IT-Karriere:
  • Services:

Malware: DDoS-Trojaner für Linux entdeckt

Mit einem bereits aktiven Trojaner für Linux können Angreifer infizierte Rechner nutzen, um DDoS-Angriffe durchzuführen. Er nistet sich unter dem Namen iptables6 ins System ein.

Artikel veröffentlicht am ,
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten.
Über einen neu entdeckten Trojaner für Linux lassen sich DDoS-Angriffe starten. (Bild: Ross Burgess/CC-BY-SA 3.0)

Linux.BackDoor.Xnote.1 nennt sich ein neu entdeckter Trojaner. Mit ihm lassen sich Linux-Rechner für DDoS-Angriffe missbrauchen. Er lässt sich auch als Client eines C&C-Servers nutzen. Damit können Angreifer auch beliebige Dateien aus der Ferne hochladen und ausführen. Der russische Hersteller der Antivirensoftware Dr. Web will auf Grund einer Code-Analyse die Urheber in China festmachen. Es soll sich um die Hackergruppe ChinaZ handeln.

Stellenmarkt
  1. Evangelische Kirche im Rheinland, Düsseldorf
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Der Trojaner installiert sich mit dem Dateinamen iptables6 im Bin-Verzeichnis. Für die Installation benötigen Angreifer jedoch Root-Rechte. Bislang seien die gefundenen Exemplare auf Linux-Systemen entdeckt worden, die die Angreifer über Brueforce-Angriffe auf SSH-Verbindungen knackten. Wie weit verbreitet der Trojaner ist, erwähnt der Blogeintrag nicht, wohl aber, dass die Antivirensoftware des Herstellers die Malware erkennt und entfernt.

Vollzugriff

Nach der detaillierten Beschreibung dürfte Linux.BackDoor.Xnote.1 auch ohne Software leicht aufzuspüren und entfernen sein. Er wird als Daemon beim Systemstart aufgerufen. Dazu trägt er bei der Installation eine Zeile mit einem Startbefehl in ein offenbar beliebiges Skript im Verzeichnis /etc/init.d ein. Im laufenden Betrieb legt die Malware die Lock-Datei /tmp/.wq4sMLArXw an. An dieser erkennt die Malware auch, ob sie bereits auf einem Rechner installiert ist. Optional legt die Malware auch eine Log-Datei im Verzeichnis /etc/.Xserver_note an. Mit ihr lassen sich Angriffe per SYN-, UDP- und HTTP-Flooding sowie NTP-Reflection-Angriffe starten. Jeder infizierte Rechner erhält eine eigene UID, über die ihn der C&C-Server identifizieren kann.

Neben einer integrierten Updatefunktion kann sich der Trojaner auch selbst löschen. Außerdem kann er Informationen über das System einholen, etwa Dateilisten, oder über die Blockgröße und die Inodes eines Dateisystems. Ferner kann er vom C&C-Server versandte Dateien akzeptieren und sie auch ausführen. Zudem ist die Malware in der Lage, einen eigenen Socks-Server starten, mit dem er sich zu seinem C&C-Server verbinden kann. Auch einen eigenen Portmap-Server kann der Trojaner starten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Windows XP Leak
    XP hatte eine geheime MacOS-ähnliche Oberfläche
  2. Oneplus Nord
    Fehler führt immer wieder zu Absturz des Betriebssystems
  3. RM20e
    Hyundais E-Rennauto beschleunigt in 10 Sekunden auf 200 km/h
  4. Fischernetze und PET-Flaschen
    Polestar Precept soll ein nachhaltiges Elektroauto werden
  5. In-App-Käufe
    Google will auf Regeleinhaltung im Play Store dringen
Anzeige
Top-Angebote
  2. ab 412,99€ Bestpreis auf Geizhals
  3. (u. a. Mafia - Definitive Edition für 35,99€, Take Two Promo (u. a. The Outer Worlds für 27...
  4. 349,99€
Kommentarübersicht
Re: Toller Trojaner den man selbst installieren muss
ccmomi 12. Feb 2015

Nicht wenn es um Sicherheit geht und der Admin fachlich kompetent genug ist um seine...

Gegen Trojanische Pferdchen ist kein OS gefeit
apfelfrosch 11. Feb 2015

Das ist ja der Trick dieser Malware, dass sie so tut als ob und so den User oder den...

Re: Das soll ein Trojaner sein?
tunnelblick 11. Feb 2015

"Als Trojanisches Pferd (englisch Trojan Horse), im EDV-Jargon auch kurz Trojaner...

Re: sudo dpkg -i iptables6.deb?
tunnelblick 11. Feb 2015

naja, "über ssh rootzugriff" kann aber auch bedeuten, dass man den ssh-zugang von hans...

Folgen Sie uns
       
Gigafactory Berlin
Erörterung zu Tesla-Fabrik: Viel Ärger, wenig Hoffnung
Erörterung zu Tesla-Fabrik
Viel Ärger, wenig Hoffnung

Lässt sich der Bau der Tesla-Fabrik in Grünheide noch stoppen? In einer öffentlichen Erörterung äußerten Anwohner und Umweltschützer ihren Unmut.
Ein Bericht von Friedhelm Greis

  1. Tesla-Fabrik in Grünheide Wasserverband gibt grünes Licht für Giga Berlin
  2. Grünheide Musk besucht erstmals Baustelle für Gigafactory
  3. Gigafactory Musk auf Deutschlandtour in Berlin und Tübingen
Crysis
Crysis Remastered im Technik-Test: But can it run Crysis? Yes!
Crysis Remastered im Technik-Test
But can it run Crysis? Yes!

Die PC-Version von Crysis Remastered wird durch die CPU limitiert, dafür ist die Sichtweite extrem und das Hardware-Raytracing aktiv.
Ein Bericht von Marc Sauter

  1. Systemanforderungen Crysis Remastered reicht GTX 1660 Ti
  2. Crytek Crysis Remastered erscheint mit Raytracing
  3. Crytek Crysis Remastered nach Kritik an Trailer verschoben
Bang & Olufsen
Beoplay H95 im Test: Toller Klang, aber für 800 Euro zu schwache ANC-Leistung
Beoplay H95 im Test
Toller Klang, aber für 800 Euro zu schwache ANC-Leistung

Der Beoplay H95 ist ein ANC-Kopfhörer mit einem tollen Klang. Aber wer dafür viel Geld ausgibt, muss sich mit einigen Kompromissen abfinden.
Ein Test von Ingo Pakalski

    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /