Riesiges Linux-Botnetz XOR DDoS - Angriffe mit mehr als 150 Gigabit pro Sekunde

Auch Linux ist nicht sicher, wenn das Root-Passwort schwach ist.

Die Linux-Schadsoftware XOR DDoS wurde zwar schon vor rund einem Jahr entdeckt, doch erst jetzt wird das auf diese Weise erstellte Botnetz wirklich aktiv und gefährlich. XOR DDoS nutzt keine spezielle Sicherheitslücke in bestimmten Distributionen aus, sondern versucht schlicht, sich extern auf Linux-Systemen als Administrator anzumelden. Dabei wird das notwendige Passwort für den Nutzer »root« einfach geraten. Sollte das wegen eines schwachen Passworts gelingen, wird die Schadsoftware per Skript installiert und anschließend auch noch ein Rootkit auf dem System platziert, das die Entfernung von XOR DDoS verhindert.

Das Ziel von XOR DDoS ist es, aus den infizierten Rechnern ein Botnetz zu erstellen, das dann koordiniert dazu verwendet werden kann, andere Server im Internet anzugreifen und beispielsweise durch Überlastung durch zu viele Anfragen lahmzulegen. Der große Cloud-Anbieter Akamai hat nun festgestellt, dass die Angriffe über dieses Botnetz inzwischen in der Lage sind, Angriffe mit über 150 Gigabit pro Sekunde zu fahren. Zwei Kunden von Akamai wurden auf diese Weise mit 100 und 50 Gbps angegriffen. Insgesamt wird das XOR-DDoS-Netz pro Tag mindestens 20 Mal pro Tag für Angriffe eingesetzt.

Laut Akamai galt Linux vor einem Jahrzehnt noch als sicherere Alternative zu Windows, auf das die meisten Angriffe ausgerichtet waren. Viele Unternehmen setzten daher auf das alternative Betriebssystem, um die Sicherheit ihrer Systeme zu verbessern. Doch inzwischen sei die Anzahl der Linux-Systeme so hoch, dass sich auch hier Angriffe lohnen, da es sehr viele schlecht konfigurierte Rechner gebe. Die Schadsoftware dürfte laut Akamai aus Asien stammen, da dort auch die verwendeten Kontrollserver für die Angriffe stehen.

Quelle: Akamai (PDF)