Akamai warnt vor Linux-Server-Botnet
Mit einer Sicherheitswarnung mit "Risikofaktor: Hoch" warnt Netzwerk-Spezialist Akamai vor einem Botnetz aus Linux-Servern, das verteilte DoS-Attacken durchführt, um andere Server in die Knie zu zwingen.
Unbekannte infizieren reihenweise Linux Server, um sie für ihre DDoS-Attacken zu missbrauchen. Sie dringen dabei bevorzugt über bekannte Sicherheitslücken in Apache-Diensten wie Tomcat, Struts oder Elasticsearch in die Systeme ein und platzieren dort die Linux-Programme IptabLes respektive IptabLex für die Steuerung und Durchführung der Angriffe, warnt der Netzwerk-Spezialist Akamai.
Wirklich neu sind diese Informationen nicht; die Initiative Malware must Die hat darüber bereits im Juni berichtet. Auch die von Akamai aufgeführten Berichte Betroffener datieren aus dieser Zeit. Neue Informationen, also insbesondere Zahlen zur Verbreitung der Bots beziehungsweise zu Häufigkeit und Intensität der damit durchgeführten Angriffe, die eine solche Sicherheitswarnung begründen könnten, liefert Akamai leider nicht. Der Hinweis, dass sich die Akamai-Tochter Prolexic auf den Schutz gegen genau solche DDoS-Attacken spezialisiert hat, fehlt jedoch nicht.
Die infizierten Server machen sowohl Malware must Die als auch Akamai vor allem in Asien aus; als Ausgangspunkt gilt China. Doch vor einer bereits beginnenden Ausbreitung in den Westen wird gewarnt. Die Angriffe setzen bevorzugt auf DNS-Reflection; neuere Kampagnen nutzen jedoch auch SYN-Flooding. Dabei hat Akamai eine Spitzenlast von bis zu 120 Gbps beobachtet.
Wer befürchtet, dass sein Server infiziert sein könnte, kann die fraglichen DDoS-Programme mit einem einfachen find-Befehl lokalisieren:
sudo find / -name '.*ptabLe*'
Man beachte dabei das große L im Dateinamen. Zur Reinigung empfiehlt das Prolexic Security Engineering and Response Team (PLXsert) den Admins, die gefundenen Programme zu löschen und alle noch aktiven Prozesse mit diesem Namen zu killen. (ju)
