Ein Netzwerk aus gekaperten Linux-Servern wird offenbar benutzt, um Schadsoftware an Windows-PCs zu verteilen. Laut der Analyse des Web-Entwicklers Denis Sinegubko sind die kompromittierten Systemen daran zu erkennen, dass auf Port 8080 der schlanke Webserver nginx auf Anfragen lauscht. Ansonsten verhalten sich betroffene Systeme unauffällig und verrichten weiterhin ihre desgnierten Dienste. Aufgefallen war die neue Taktik, als in kompromittierten Webseiten Links auf in China gehostete Malware durch dynamische DNS-Namen von DynDNS.com und No-IP.com ersetzt wurden.
Anzeige
Bei den Dynamic-DNS-Dienste registrieren sich die befallenen Server mit ihrer IP-Adresse für bestimmte Hostnamen. Laut Sinegubko haben die Dienste zwar nach seiner Mitteilung bereits über 100 Hostnamen aus den Datenbank gestrichen, doch die Botnetz-Betreiber passen sich offenbar schnell an und registrieren die Systeme unter neuen Namen. Sinegubkos Liste umfasst nach seinen Angaben derzeit 77 IP-Adressen.
Wie die Server kompromittiert wurden, ist bislang unklar. Sinegubkos spekuliert, dass es sich um Server handelt, deren Admins aus unverschlüsselten FTP-Verbindungen mitgesnifften Passwörter auch für den Root-Zugang verwendeten.
Botnetz aus Linux-Servern entdeckt
Linear-Darstellung
