Archiv der Kategorie: IT-Sicherheit

Gefahr vor Linux-Botnet?

Akamai warnt, Initiative „Malware must Die“ berichtete im Juni darüber.  Im Artikel „Akamai warnt vor Linux-Server-Botnet“ von heise.de (Quelle ist am Ende des Beitrags) wird ausschließlich von Servern geredet, jedoch ist auch eine bedeutende Anzahl von Clients in Gefahr, die einen Apachee haben. Unbekannte benutzen bekannte Lücken in den Systemen. Besonders anfällig sind die Dienste Tomcat, Struts und Elasticsearch. Es wird folgendes Linux-Programm injeziert: iptabLes respektive iptabLex. (Name kann sich mit der Zeit ändern)

Was sollte man wissen?
Das iptables- und IptabLex-Botnetz wird aus kompromitierten Linux-Servern gebaut. Angreifer haben Linux-Server ins Visier genommen, die ungepatchte Versionen von Apache Struts und Tomcat ausführen. Falsch konfigurierte Elasticsearch-Instanzen sind genauso das Ziel von Angreifern.  Sobald das Linux-System kompromittiert wird, nehmen sich die Angreifer die Privilegien und infizieren das System mit iptables- oder IptabLex Malware.
Das Botnetz wurde anfänglich verwendet, um die Unterhaltungs-Branche anzugreifen.  Die iptables-/IptabLex DDoS-Bot zeigen laut prolexig.com (Quelle siehe unten) Anzeichen von Instabilität. Ausgereifte und stabile Versionen könnten in Zukunft starke DDoS-Attacken auslösen. Die iptables-/IptabLex-Bots könnten dann auch für Attacken auf andere Branchen verwendet werden, da die Unterhaltungs-Branche anscheinend nur zur Erprobung, der nicht ausgereiften und stabilen Bots, diente. Um einen weiteren Befall und die Ausbreitung des iptables-IptabLex-Botnetzes zu verhindern, müssen Linux-Administratoren, diese Bots identifizieren und sofortige Korrekturmaßnahmen einleiten.

Wie könnte ich mein System sichern?
Das Linux-System sollte auf den neuesten Patchstand gebracht werden. Den Apachee mit seinen Diensten so konfigurieren, dass die Sicherheitslücken geschlossen sind. Es sei angemerkt, dass die Standard-Installationen (z.B. HowTo’s oder Systeminstalltionen) einladend für den Angriff sind. Es empfiehlt sich von den Standard-Konfigurationen ab zuweichen.  Eine Antivirus-Engine ist gut und sollte aktuell und eingeschaltet sein. 

Wie finde ich den Bot?
Man nehme den Befehl „SUDO find / -name  ‚.*ptabLe*‘ „.
Es sei angemerkt, dass das „L“ extra groß geschrieben wurde. Alle aktiven Prozesse mit diesem Namen killen und die gefundenen Programme löschen. Leider kann es zu Namensänderungen kommen und man sollte vielleicht nach ähnlich lautenden Prozessen Ausschau halten, die keine systemeigenen Prozesse sind.

Was ist mit Linux-Firewalls?
Im Netz sind noch keine Erkenntnisse darüber, ob auch die Firewalls mit Ihren WebGUI’s attakiert wurden. Ich würde den Herstellern raten, eine Option für das Ausschalten der WebGUI an die Kunden weiterzugeben.

Quellen:
– http://www.heise.de/security/meldung/Akamai-warnt-vor-Linux-Server-Botnet-2344811.html- http://www.prolexic.com/knowledge-center-ddos-threat-advisory-iptables-iptablex-linux-bots-botnet-cybersecurity.html