Akamai warnt vor IptabLes- und IptabLex-Malware

Linux-Server dienen als DDoS-Botnetz

| Redakteur: Stephan Augsten

Infizierte Linux-Server wurden verwendet, um groß angelegte DDoS-Attacken zu fahren.
Infizierte Linux-Server wurden verwendet, um groß angelegte DDoS-Attacken zu fahren. (Bild: Archiv / Piumadaquila - Fotolia.com)

Sicherheitsforscher von Akamai haben ein Botnetz entdeckt, das ausnahmslos aus Linux-Servern besteht, die vornehmlich in Asien und den USA stehen. Als Einfallstore dienten bekannte Sicherheitslücken in Apache-Diensten wie Struts, Tomcat und Elasticsearch. Über den Server-Verbund wurden gezielt Webseiten der Unterhaltungsindustrie lahmgelegt.

Das Prolexic Security Engineering & Response Team von Akamai hat jüngst eine Reihe von Dienstblockaden (Distributed Denial of Service, DDoS) untersucht. Diese ließen sich den Sicherheitsexperten zufolge auf infizierte Linux-Server zurückverfolgen. Anfangs befanden sich die meisten infizierten Systeme in Russland, mittlerweile finden sich infizierte Server hauptsächlich in Asien und vereinzelt auch in den USA.

Hacker hatten Schwachstellen in nicht gepatchten Apache-Diensten genutzt, um die Server unter ihre Kontrolle zu bringen. Nachdem sie in die Systeme vorgedrungen waren, erhöhten sie die Benutzerrechte und hinterlegten sogenannte IptabLes- und IptabLex-Malware auf den Servern. Das IptabLes-IptabLex-Botnet ist laut Akamai instabil, das Prolexic-Team erwartet für die Zukunft aber ausgereiftere Schadcode-Versionen.

Im Rahmen von DNS- und SYN-Flooding-Attacken produzieren die Bots große Datenmengen, um andere Domains bzw. Web-Dienste, vornehmlich aus der Unterhaltungsindustrie, in die Knie zu zwingen. Eine Kampagne erreichte laut Akamai eine Spitzenbandbreite von 119 Gigabit pro Sekunde bei 110 Millionen Datenpaketen pro Sekunde (Million packets per second, Mpps).

Zur Erkennung und Abwehr der IptabLes- und IptabLex-Malware sollten die Linux-Systeme mit den aktuellen Sicherheitsupdates und einer Antiviren-Software ausgestattet werden. In dem verlinkten Sicherheitshinweis erläutert Akamai, wie IT-Administratoren infizierte Systeme mit Hilfe von Bash-Befehlen reinigen können. Darüber hinaus gebe es für die Open-Source-Malware-Erkennung Yara bereits einen entsprechenden Eintrag für IpTables.

Ausführliche Details zu Gegenmaßnahmen finden sich im Blog-Eintrag „Akamai Offers Further Guidance to Blunt Linux DDoS Threat“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42941640 / Server)