Botnetz aus Linux-Servern entdeckt

Ein Netzwerk aus gekaperten Linux-Servern wird offenbar benutzt, um Schadsoftware an Windows-PCs zu verteilen. Laut der Analyse des Web-Entwicklers Denis Sinegubko sind die kompromittierten Systemen daran zu erkennen, dass auf Port 8080 der schlanke Webserver nginx auf Anfragen lauscht. Ansonsten verhalten sich betroffene Systeme unauffällig und verrichten weiterhin ihre desgnierten Dienste. Aufgefallen war die neue Taktik, als in kompromittierten Webseiten Links auf in China gehostete Malware durch dynamische DNS-Namen von DynDNS.com und No-IP.com ersetzt wurden.

Bei den Dynamic-DNS-Dienste registrieren sich die befallenen Server mit ihrer IP-Adresse für bestimmte Hostnamen. Laut Sinegubko haben die Dienste zwar nach seiner Mitteilung bereits über 100 Hostnamen aus den Datenbanken gestrichen, doch die Botnetz-Betreiber passen sich offenbar schnell an und registrieren die Systeme unter neuen Namen. Sinegubkos Liste umfasst nach seinen Angaben derzeit 77 IP-Adressen.

Wie die Server kompromittiert wurden, ist bislang unklar. Sinegubkos spekuliert, dass die Admins betroffener Systeme ihre Root-Passwörter auch für unverschlüsselte FTP-Verbindungen nutzten, sodass sie sich von den Angreifern mitschneiden ließen.

Siehe dazu auch:

• Dynamic DNS and Botnet of Zombie Web Servers, Blog-Beitrag von Denis Sinegubko

(cr)