zurück zum Artikel

Akamai hat Denial-of-Service-Angriffe ausgemacht, die von gehackten Linux-Servern ausgehen und vor allem Webseiten in Asien zum Ziel haben. Das stärkste gemessene DDoS-Aufkommen erreichte 400 Gbps.

Ein Sicherheitsteam des Content Distribution Networks Akamai hat eine große Anzahl Denial-of-Service-Angriffe ausgemacht [1], die von kompromittierten Linux-Servern ausgehen. Das sogenannte XOR-Botnetz ist laut dem Bericht in der Lage, über 150 GBit/s Traffic auf seine Ziele zu richten. Der stärkste gemessene Traffic erreichte 400 GBit/s. Die Opfer dieser DDoS-Angriffe finden sich vor allem in Asien, wo hauptsächlich Gaming-Seiten und Bildungsorganisationen betroffen sein sollen. Die infizierten Server starten bis zu zwanzig verschiedene Angriffe pro Tag.

Zugriff auf die Server erhalten die Angreifer über einen altbekannten Weg: Sie knacken die SSH-Passwörter der Server mit Gewalt. Dabei scheinen sie nur Root-Konten zu interessieren. Können sie solche Root-Logins kapern, müssen die Angreifer schließlich keine weiteren Sicherheitslücken suchen, um volle Kontrolle über die Server zu erlangen. Auf kompromittierten Systemen wird über ein Shell-Skript Schadcode heruntergeladen, der eine Hintertür in das System einbaut und den Server anweist, Ziele mit SYN- oder DNS-Traffic zu überschwemmen.

Akamai empfiehlt betroffenen Admins, die SSH-Zugänge zu ihren Servern zu sichern. Vor allem Root-Logins sollten auf jeden Fall deaktiviert werden. (fab [2])

URL dieses Artikels:
https://www.heise.de/-2836817

Links in diesem Artikel:
[1] https://www.stateoftheinternet.com/downloads/pdfs/2015-threat-advisory-xor-ddos-attacks-linux-botnet-malware-removal-ddos-mitigation-yara-snort.pdf
[2] mailto:contact@fab.industries

Copyright © 2015 Heise Medien