"Linux zombies maken DDoS aanvallen pas echt eng"
De meeste zombienetwerken bestaan uit grote groepen Windows PC's en worden gebruikt voor het uitvoeren van Distributed Denial of Service aanvallen. De botnetbeheerder laat de PC's miljoenen pakketjes naar een website sturen waardoor die uiteindelijk plat gaat. De hoeveelheden verkeer die tijdens dit soort aanvallen gegenereerd worden zorgen er zelfs voor dat de "upstream infrastructuur" het niet meer aan kan. Firewalls, routers en zelfs ISPs kunnen door dit soort aanvallen offline gaan.
Een recente techniek die de zombies kunnen gebruiken is het uitvoeren van DNS look-ups, waardoor de DNS server van het doelwit offline gaat, en uiteindelijk ook de site die het doelwit was, zonder dat die direct getroffen wordt.
Er loert echter nog een ander gevaar, namelijk Linux zombies. DDoS-expert Barrett Lyon kreeg laatst te maken met een Japanse hacker die door iemand was ingehuurd om hun concurrent uit te schakelen, de klant van Lyon.
De hacker gebruikte een veelvoorkomende configuratiefout binnen PHP scripts om Linux machines over te nemen, waarna ze aan het botnet werden toegevoegd. In de meeste gevallen gaat het om webservers die via breedbandverbindingen verbonden zijn. Dit soort botnets zijn veel krachtiger dan die bestaan uit een verzameling Windows PC's.
Het PHP script dat de hacker misbruikte is eenvoudig via Google te vinden. Hij automatiseerde dit proces door geinfecteerde machines via Google naar andere kwetsbare machines te laten zoeken. Toen hij eenmaal voldoende bots had lanceerde hij de aanval.
In deze podcast wordt Lyon geinterviewd over deze nieuwe DDoS-ontwikkelingen. Security expert Richard Stiennon, die hem interviewde en over de Linux zombies blogde, heeft veel kritiek gekregen omdat het niets met Linux, maar met PHP te maken zou hebben.
George Ou komt zijn collega Stiennon te hulp. Volgens Ou is de angst voor een monocultuur overdreven, en gaat het er niet om welk platform het best is, maar is het juist de vraag welk platform het best voor de organisatie is, en organisaties kunnen verschillen. Het kiezen van een platform, of het nu open of closed source is, moet daarom worden aangepast aan het beschikbare IT-talent dat binnen het bedrijf rondloopt, dat is de meest pragmatische en veiligste oplossing.
PHP hackt, dan vraag je er natuurlijk om. Je kunt ook een linux machine
ZONDER php krijgen, zonder problemen. Een Windows PC zonder internet
exploder is al een stuk moelijker en komt neer op hacken van je eigen
systeem. Dus een exploit in MSIE IS een exploit in Windows. Ik begrijp dat
ook volledig de reacties uit de Linux hoek.
breedbandiger internet verbinding hangen .... dus al die M$
servertjes zijn niet eng als je gaan mee doen aan een DDoS ?
PHP hackt.
Meestal is het geen lek in PHP, maar een slecht geprogrammeerde
CMS. Daar komt dan bij dat de server ook nog eens slecht
gehardend wordt. bepaalde php extensies zoals curl
installeren zonder ze nodig te hebben, register_globals en
dergelijke.
Vooral als je een populaire cms hebt die lekken bevat, ben
je aan de beurt. Het is gewoon makkelijk om met google te
zoeken naar
bekendecms_guestbook.php . Dan is het niet zo gek dat veel
massa defacements op naam van Linux staan, zie zone-h.org
Dat ligt dan in eerste instantie niet aan linux of php, maar
eerder aan het gastenboek dat niet werkt met
register_globals op off.
globals on) dan is het niet meer dan logisch dat PHP in
safemode draait, en om de safemode beperkingen te "omzeilen"
is er een patch beschikbaar die deze beperkingen (binnen het
CMS) kan oplossen.
Het individueel kunnen benaderen van mappen of bestanden op
een server is verwijtbaar aan de serveradmin en de kwaliteit
van het CMS.
Ik gebruik nu min. 5 jaren verschillende populaire CMS
systemen Mambo / Joomla e.a. (geen php-nuke) waarin de
afgelopen jaren verschillende exploits bestonden maar waar
door een juiste serverconfig er nimmer een geslaagde
defacement of hack is uitgevoerd. (de goden verzoeken?, ach
het is pasen...;)
Gewoon heel zorgvuldig je hostingpartner zoeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
