XOR-Botnetz: Gehackte Linux-Server lösen DDoS-Fluten aus
Akamai hat Denial-of-Service-Angriffe ausgemacht, die von gehackten Linux-Servern ausgehen und vor allem Webseiten in Asien zum Ziel haben. Das stärkste gemessene DDoS-Aufkommen erreichte 400 Gbps.
- Fabian A. Scherschel
Ein Sicherheitsteam des Content Distribution Networks Akamai hat eine große Anzahl Denial-of-Service-Angriffe ausgemacht, die von kompromittierten Linux-Servern ausgehen. Das sogenannte XOR-Botnetz ist laut dem Bericht in der Lage, über 150 GBit/s Traffic auf seine Ziele zu richten. Der stärkste gemessene Traffic erreichte 400 GBit/s. Die Opfer dieser DDoS-Angriffe finden sich vor allem in Asien, wo hauptsächlich Gaming-Seiten und Bildungsorganisationen betroffen sein sollen. Die infizierten Server starten bis zu zwanzig verschiedene Angriffe pro Tag.
Zugriff auf die Server erhalten die Angreifer über einen altbekannten Weg: Sie knacken die SSH-Passwörter der Server mit Gewalt. Dabei scheinen sie nur Root-Konten zu interessieren. Können sie solche Root-Logins kapern, müssen die Angreifer schließlich keine weiteren Sicherheitslücken suchen, um volle Kontrolle über die Server zu erlangen. Auf kompromittierten Systemen wird über ein Shell-Skript Schadcode heruntergeladen, der eine Hintertür in das System einbaut und den Server anweist, Ziele mit SYN- oder DNS-Traffic zu überschwemmen.
Akamai empfiehlt betroffenen Admins, die SSH-Zugänge zu ihren Servern zu sichern. Vor allem Root-Logins sollten auf jeden Fall deaktiviert werden. (fab)
