Sophos: Linux spielt wichtige Rolle in Botnetzen

Da Linux-Server meist rund um die Uhr liefen, seien sie ein beliebtes Ziel von Kriminellen, die gekaperte Server in Command&Control-Server zur Steuerung der Botnetze umfunktionieren.

In Pocket speichern vorlesen Druckansicht 595 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Der Hersteller von Antivirensoftware Sophos hat die Bedeutung von Linux im Zusammenhang mit Botnetzen in einem Blog-Beitrag hervorgehoben. Viele Linux-Installationen würden meist als Server benutzt und dabei, anders als viele Windows-PCs, rund um die Uhr laufen. Damit seien sie ein beliebtes Ziel von Kriminellen, die gekaperte Server in Command&Control-Server zur Steuerung der vielen infizierten Windows-PCs umfunktionieren. Infizierte Windows-Clients gingen also oftmals Hand in Hand mit geknackten Linux-Servern einher.

In der Regel dringen die Angreifer nach Angaben von Sophos über schwache SSH-Passwörter oder Sicherheitslücken in die Systeme ein. Anschließend installieren sie ihre Schadsoftware, bei der es sich laut Bericht in vielen Fällen um die Backdoor Linux/Rst-B handele. Rund 70 Prozent der von Hackern auf einen von Sophos betriebenen Honeypot hochgeladenen Programme sollen die seit sechs Jahren bekannte Backdoor enthalten haben. RST-B infiziert ELF-Binaries und nimmt über einen Netzwerk-Port Befehle von außen entgegen.

Nach Meinung von Sophos wüssten vielen Betreiber nichts von der Infektion ihres Linux-Servers. Damit Anwender herauszufinden, ob der eigene Server infiziert ist, stellt der Hersteller einen Stand-Alone-Scanner kostenlos zum Download, der nach dem Schädling sucht. Üblicherweise sollte man nach der Übersetzung des Tools damit zunächst in den Verzeichnissen /bin, /sbin, /usr/bin und /usr/sbin nach infizierten Dateien suchen. Andere Schädlinge als die RST-Backdoor findet das Tool allerdings nicht. Ein negatives Ergebnis sagt also nichts darüber aus, ob der Server nicht doch Teil eines Botnetzes ist. Um sicher zu gehen, kann eine Überprüfung mit einem vollwertigen Scanner unter Umständen sinnvoll sein. Kostenlose Scanner für Linux stellen unter anderem bereit:

Einige der Produkte sind als Desktop-Scanner für Installationen mit GUI gedacht, allerdings dürften sie auf Servern mit GUI ohne Probleme funktionieren.

Siehe dazu auch:

(dab)