Um sie für ihre DDoS-Attacken zu missbrauchen infizieren unbekannte reihenweise Linux Server. Dabei dringen sie bevorzugt über bekannte Sicherheitslücken in Apache-Diensten wie Struts, Elasticsearch oder Tomcat in die Systeme ein und platzieren dort für die Steuerung und Durchführung der Angriffe die Linux-Programme IptabLes respektive IptabLex, warnt der Netzwerk-Spezialist Akamai.

Diese Informationen sind nicht wirklich neu, da die Initiative Malware must Die im Juni bereits darüber berichtet hat. Aufgeführte Berichte Betroffener von Akamai datieren ebenfalls aus dieser Zeit. Leider liefert Akamai keine neuen Informationen, wie Zahlen zur Verbreitung der Bots beziehungsweise zu Intensität und Häufigkeit der damit durchgeführten Angriffe, die eine solche Sicherheitswarnung begründen könnten. Der Hinweis, dass sich Akamais-Tochterfirma Prolexic auf den Schutz gegen genau solche DDoS-Attacken spezialisiert hat, fehlt jedoch nicht.

Sowohl Malware must Die als auch Akamai machen die infizierten Server vor allem in Asien aus. China gilt dort als Ausgangspunkt. Vor einer bereits beginnenden Ausbreitung in den Westen wird jedoch gewarnt. Bevorzugt setzen die Angriffe auf DNS-Reflection; allerdings nutzen neuere Kampagnen auch SYN-Flooding. Akamai beobachtete dabei eine Spitzenlast von bis zu 120 Gbps .

Die fraglichen DDoS-Programme können, wenn eine Infektion des Servers befürchtet wird, mit einem einfachen find-Befehl lokalisiert werden:

sudo find / -name '.*ptabLe*'

Dabei beachte man das große L im Dateinamen. Das Prolexic Security Engineering and Response Team (PLXsert) empfiehlt den Admins zur Reinigung, die gefundenen Programme zu löschen und alle noch aktiven Prozesse mit diesem Namen zu killen.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE