Botnetwerk door geinfecteerde Linux computers

[Ronaldus]

Zie: http://www.nu.nl/internet/4135235/gigantisch-botnetwerk-ddos-aanvallen-ontdekt.html

Hoe merk je eigenlijk of jouw computer hiermee geïnfecteerd is?


Gigantisch botnetwerk voor ddos-aanvallen ontdekt 

Foto: Thinkstock

Gepubliceerd: 29 september 2015 13:44Laatste update: 29 september 2015 14:21

Beveiligingsonderzoekers hebben een gigantisch botnetwerk ontdekt, dat gebruikmaakt van geïnfecteerde Linux-computers. Het netwerk valt iedere dag twintig websites aan.

Dit melden de onderzoekers in een blogpost, aldus Ars Technica.
 
Het netwerk voert een ddos-aanval aan op websites, waarbij maar liefst 150 GB per seconde aan data wordt verstuurd. Dit botnetwerk staat bekend als 'Xor ddos'.
 
Xor ddos heeft voornamelijk websites over het onderwijs en gaming aangevallen. Deze aanvallen vonden in 90 procent van de gevallen plaats in Azië. Het is onduidelijk of de beheerders ook westerse websites willen aanvallen.
 
Aanvallen van het botnetwerk zijn moeilijk te stoppen, omdat de aanvallende computers het ip-adres van het slachtoffer imiteren. Xor ddos wordt op Linux-computers geïnstalleerd door zwakke wachtwoorden te kraken.

[VuurVosje]

FUD

[markba]

Uit het artikel:

Xor ddos wordt op Linux-computers geïnstalleerd door zwakke wachtwoorden te kraken.

Het heeft dus helemaal NIETS met de veiligheid van Linux zelf te maken. Als je de deur openzet, ja, logisch dat er dan wat binnenkomt.

[Ronaldus]

De malware wordt wel steeds intelligenter, waarbij de gemiddelde gebruiker lang niet altijd meer in de gaten heeft dat er iets niet klopt met zijn computer.

(En niet iedereen zal een verschrikkelijk moeilijk niet te kraken wachtwoord gebruiken... Het zullen bij veel gebruikers gewoon namen of woorden in het woordenboek zijn.)

[partyrabbit]

Ik ben wel benieuwd in hoeverre dit klopt, en waar dit dan gezocht moet worden binnen mijn linux.

Zwakke wachtwoorden? Welke wachtwoorden? Linux ww? Router ww? Internet ww?

[partyrabbit]

https://www.symantec.com/security_response/writeup.jsp?docid=2015-010823-3741-99
Schijnbaar een trojan. Dat kan toch niet onder linux?
Of geinfecteerd onder win, dual boot of in virtualboot? Of met wine?
Of tijdens het internetten? Javascript?

Technische achtergrond van de trojan.
https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/#more-33072

[VuurVosje]

Relax; eerst lezen dan reaguren. 
Dit gaat over remote access middels SSH.
Zoals markba al zei: als je zelf de deur openzet...


FUD dus.
https://nl.wikipedia.org/wiki/Fear,_uncertainty_and_doubt

[testcees]

Schijnbaar een trojan. Dat kan toch niet onder linux?

Dat kan uiteraard wel en daarom ook het advies alleen software uit betrouwbare bron te installeren.

Als de linux computer met ssh bereikbaar is vanaf het internet is ook een sterk wachtwoord van groot belang.
Nog beter is het om de mogelijkheid via ssh met een wachtwoord in te loggen helemaal uit te schakelen en voor ssh sleutels te gebruiken (PasswordAuthentication no).

[jan11000]

Wij gebruikers zullen altijd de laatste zijn die iets merken,
dit is omdat, zelfs met virusscanner en firewall, wij als laatste dit gaan merken.
Virusscanner gaat dit ook met langere of kortere vertraging merken, of beter gezegd aan ons doorgeven.

Dus het belangrijkste is voorkomen dat er iets kan gebeuren, of beter gezegd, zorg dat er niks verkeerd geïnstalleerd wordt op je pc, dus zwaar beveiligen en handelen met verstand.(kennis).

Bij servers wordt van bepaalde files een checksum gemaakt, dit wordt apart bewaard, dan kan dit vergeleken worden met de server in de toekomst, zo komt men aan nieuwe virussen, etc.
Natuurlijk wordt ook het netwerk in de gaten gehouden.

[partyrabbit]

Dit gaat over remote access middels SSH.

Pfoe. Niet aan de orde hier inderdaad. 

Relax; eerst lezen dan reaguren. 

De win angst modus is er schijnbaar nog niet helemaal uit. 

Dat kan uiteraard wel en daarom ook het advies alleen software uit betrouwbare bron te installeren.

Ok. Gelukkig. Ik installeer alleen software via softwarecentrum dus dat zit goed.

Virusscanner gaat dit ook met langere of kortere vertraging merken, of beter gezegd aan ons doorgeven.

Ja ja. Ik heb al vaker trojans en zo moeten verwijderen van pc's waar de virusscanners nog geen oplossing voor hadden of zelf nog niet eens herkenden.
De infectie van zo'n trojan wordt meestal pas bekend als hij al in werking is getreden, en dan moet de oplossing nog komen.

[Ron]

Ach, thuis zitten we (meestal) achter een router en zonder port-forwarding zal de PC niet van buitenaf te bereiken zijn.

[jvecht]

Naar mijn mening is hier sprake van een broodje Aap verhaal van het zuiverste water.

Hoeveel gewone Linux gebruikers weten nou van SSH? De experts die wel weten van SSH en dat gebruiken weten donders goed de risico's. Die hebben belangen en die beschermen dat vast en zeker met een goed wachtwoord. In ieder geval blijven er echt niet genoeg dommers over die de vorming een redelijk sterk botnet tot een realiteit maken.

Neehoor, een broodje Aap verhaal. Net zo fake als al die bloedmaan foto's met een mooi silhouet van een of ander bekend gebouw, brug of andere landmark in de voogrond. Iedereen die die avond een serieuze poging deed voor een foto weet dat dat echt niet kan, Ja, wel met gebruik van GIMP natuurlijk. En als je ooit eens met SSH bezig bent geweest, dan weet je net zo zeker dat dat echt geen werk is voor een beginneling.

Nee, geef mijn portie maar aan Aap. Hier lusten de apen geen brood van. Mijn apen dan.

[Nero]

En als je ooit eens met SSH bezig bent geweest, dan weet je net zo zeker dat dat echt geen werk is voor een beginneling.

SSH access is a piece of cake als je terminal gewoon bent. Ik gebruik het hier thuis alle dagen.

Maar ik ben dan ook geen beginneling... 

[testcees]

Ach, thuis zitten we (meestal) achter een router en zonder port-forwarding zal de PC niet van buitenaf te bereiken zijn.

Helpt misschien tegen dit specifieke botnet maar niet tegen alle vormen van malware.
Met ssh kan je (lees: malware zelf) een proxy opzetten. 
Vergelijk het met Teamviewer, dan is de PC ook van buitenaf te bereiken achter een router en zonder port-forwarding.

[softbart]

En als je ooit eens met SSH bezig bent geweest, dan weet je net zo zeker dat dat echt geen werk is voor een beginneling.

SSH access is a piece of cake als je terminal gewoon bent. Ik gebruik het hier thuis alle dagen.

Maar ik ben dan ook geen beginneling... 

Hier ook dagelijks gebruik van ssh.
Voor het laatste moeten andere maar beoordelen. 

groet,

Theo

[jvecht]

Ja Cees,

Wat betreft portforwarding en Teamviewer kan ik me dat nog wel voorstellen. Maar én SSH beheersen én een proxy opzetten en dan zo stom zijn om geen behoorlijk wachtwoord te gebruiken lijkt me toch een grote zeldzaamheid en dus verwacht ik zo weinig pc's in het veld om een groot genoeg botnet te kunnen realiseren, dat al deze theorie kan lijden tot een echte bedreiging.

Nu, ik houd het op mijn broodje Aap.

[markba]

Nu, ik houd het op mijn broodje Aap.

Idd. Vanaf het begin af aan ging het duidelijk om een zwak wachtwoord. Dus behalve dat je dat niet moet doen (duh), wat moet je daar dan nog meer oeverloos over ouwehoeren dan?

[Lowlands]

En als je ooit eens met SSH bezig bent geweest, dan weet je net zo zeker dat dat echt geen werk is voor een beginneling.

SSH access is a piece of cake als je terminal gewoon bent. Ik gebruik het hier thuis alle dagen.

Maar ik ben dan ook geen beginneling... 

Ik heb totaal geen idee waar jullie het over hebben!SSH is voor mij geheimtaal..

[jvecht]

Hoi Lowlands,

Heb jij dan wel een lekker zwak wachtwoord? Zoiets als Welkom? Je moet toch wel ergens in uitblinken tegenwoordig?

[VuurVosje]

Offtopic: (want dit dwaalt toch af  )
Mijn wachtwoord is: 'Geheim'
 

[Ron]

Ach, thuis zitten we (meestal) achter een router en zonder port-forwarding zal de PC niet van buitenaf te bereiken zijn.

Maakt weinig uit, met ssh kan je (lees: de malware zelf) een proxy opzetten. 
Vergelijk het met Teamviewer, dan is de PC ook van buitenaf te bereiken achter een router en zonder port-forwarding.

Maar dan is teamviewer al geïnstalleerd en maakt de computer zelf verbinding.

[testcees]

Maar dan is teamviewer al geïnstalleerd en maakt de computer zelf verbinding.

Dat bedoel ik ook, als ssh is geïnstalleerd (standaard op Ubuntu) kan malware op de computer zelf verbinding maken (inclusief proxy, sudo/root of port-forwarding is daarvoor niet nodig).
Dit als reactie op malware in het algemeen (software uit onbetrouwbare bron) maar voor dit botnet moet inderdaad een ssh-server zijn geïnstalleerd en bereikbaar zijn vanaf internet.

[Bloom]

Systeembeheerders die Linux machines online zetten met roottoegang via wachtwoorden moeten op staande voet ontslagen worden wegens zware incompetentie en zware beroepsfouten en ZEKER als het om zulke evidente wachtwoorden gaat.

De Linux servers of "blackboxes" die ik beheer en die online staan hebben géén roottoegang via ssh met een wachtwoord, maar enkel via een encryptiesleutel. Er is wel een gewone user die ook sudo-rechten heeft en die via ssh met een gewoon wachtwoord kan inloggen, maar daar draait dan een module die  je maar drie inlogpogingen toestaat, daarna wordt je ip-adres voor 10 minuten verbannen. Daarna mag je weer voor drie pogingen, maar dan duurt de ban dubbel zo lang en zo verdubbelt dat telkens. Veel succes met een brute force methode om wachtwoorden uit te proberen dan. ZO moet dat en niet anders!

Iets dat trouwens niet vermeld wordt en wat ik zelf al vaak tegengekomen ben: Linux-systemen met uitstekende wacthwoorden en inlogpogingbeperking die toch gekraakt worden omdat een beheerder een Windows pc gebruikt om op afstand die Linux-systemen te beheren en waarbij die Windows dan met spyware geïnfecteerd wordt. Daarna heeft de hacker dus de veilige inlogs van die Linux-systemen.
Uiteraard is het dan de fout van Linux dat dat gehackt wordt. Windows is immers 100% veilig want dat hoor je van de Microsoft Silver & Gold partners die in het oor hangen van de beleidsmakers bij bedrijven en overheidsinstellingen.

[Nero]

(...) als ssh is geïnstalleerd (standaard op Ubuntu) (...)

Sinds wanneer wordt de SSH server standaard op Ubuntu geïnstalleerd? Met de clien alleen gaat men geen malware opzetten.

[testcees]

Systeembeheerders die Linux machines online zetten met roottoegang via wachtwoorden moeten op staande voet ontslagen

Dan ga je er van uit dat de “systeembeheerders” die verantwoordelijk zijn voor dit Linux-botnet in loondienst werken en iemand hun werkzaamheden in detail controleert.

Met de clien alleen gaat men geen malware opzetten.

Malware heeft aan de ssh-client genoeg om verbinding te maken met de buitenwereld maar om slachtoffer te worden van dit specifieke linux-botnet is inderdaad de ssh-server nodig die niet standaard wordt geïnstalleerd.