image

Botnet van Linux servers maakt internet onveilig

maandag 14 september 2009, 14:23 door Redactie, 32 reacties

Een grootschalige aanval op internetgebruikers en websites is herleid naar een botnet van gehackte Linux-servers. Onderzoeker Denis Sinegubko onderzocht de IP-adressen waar de gehackte websites naar toe verwezen. In alle gevallen ging het om servers waar legitieme websites op draaiden. De websites draaiden op poort 80, terwijl de kwaadaardige content via poort 8080 werd aangeboden. "Het lijkt erop dat al die servers zijn gehackt en dat de beheerders niet door hebben dat hackers een webserver op poort 8080 hebben draaien", aldus Sinegubko. Hij adviseert systeembeheerders om te controleren of er geen ongeautoriseerde webserver op de betreffende poort draait. De aanvallers hebben een voorkeur voor lichtgewicht webserver nginx, wat doet vermoeden dat ze shell toegang met root rechten hebben.

"Wat we hier hebben is het langverwachte zombiebotnet van webservers. Een groep van geïnfecteerde webservers met een gemeenschappelijk controle center betrokken bij het verspreiden van malware", gaat de onderzoeker verder. Hij merkt op dat het botnet weer met een botnet van thuiscomputers verbonden is. Het webserver-botnet kan precies dezelfde dingen als een doorsnee botnet doen, alleen vanwege de internetverbinding veel effectiever. Het gebruik van een webserver heeft echter ook nadelen. Zodra het IP-adres van de server bekend is, zal die vroeger of later worden afgesloten.

Wachtwoord
Sinegubko stelt dat als de aanval langer effectief dan een week wil zijn, de aanvallers over duizenden al gehackte servers moeten beschikken. "Of ze beschikken over een te misbruiken Linux-lek." Alle gehackte servers draaiden Linux. "Dit is geen proof-of-concept aanval die stopt met bestaan. Dit is een echt probleem dat systeembeheerders zo snel als mogelijk moeten aanpakken."

Naast de mogelijkheid van een ongepatchte server, houdt de onderzoeker er ook rekening mee dat aanvallers over het root-wachtwoord beschikten. De aanval in kwestie steelt FTP-wachtwoorden om verborgen iframes aan legitieme websites toe te voegen. De kans is dus aanwezig dat gebruikers hetzelfde account voor FTP als root gebruikten of de informatie in het FTP-programma bewaarden. Wat in beide gevallen erg dom is, aldus Sinegubko.

Reacties (32)
14-09-2009, 14:32 door Anoniem
Dit laat maar weer eens zien dat het sprookje dat 'linux veilig is' niet op gaat - en dat vulnerabilities ook in de applicaties kunnen zitten die op een OS draaien. Misschien toch iets om over na te denken voor de 'linux is veilig' evangelisten hier, en die per definitie het idee van patch management, malware detectie en dergelijke op linux naar de prullebak verwijzen.
14-09-2009, 14:41 door Anoniem
Ik ben benieuwd naar de reacties en of verklaringen van onze Linux vrienden
14-09-2009, 14:42 door Anoniem
Ieder systeem, of het nou Linux, Mac, Solaris of Windows heet, kan onveilig gemaakt worden door bijvoorbeeld geen firewall te installeren, "admin" of een ander belachelijk simpel root-wachtwoord te kiezen of op een andere manier niet goed te beveiligen.

Het feit dat het hier om Linux servers gaat is hierbij niet relevant in de zin dat het daardoor (on)veiliger is dan een ander systeem.
14-09-2009, 14:45 door Anoniem
Beetje voorbarige conslusies lijkt mij.
Als je het bron artikel leest, dan gaat het tot nu toe om 77 unieke ip adressen, en trekt de auteur daar de conclusie uit dat iemand dit niet zou doen als hij/zij niet duizenden al gehackte linux machines zou hebben. Ik zou zeggen: eerst zien, dan geloven.
Ook is het volgens mij niet nodig om root access te hebben als je op port 8080 een nginx servertje wilt draaien. Dus of een gestolen ftp wachtwoord voor een normale user, of mogelijk php/sql injection zou al afdoende kunnen zijn.

Dus wat men iig heeft zijn 77 linux webservertjes met een eigen httpd server op port 8080... de rest is speculaties en mooie woorden om er een smeuig verhaal van te maken.
14-09-2009, 14:53 door Thasaidon
Door Anoniem: Dit laat maar weer eens zien dat het sprookje dat 'linux veilig is' niet op gaat - en dat vulnerabilities ook in de applicaties kunnen zitten die op een OS draaien. Misschien toch iets om over na te denken voor de 'linux is veilig' evangelisten hier, en die per definitie het idee van patch management, malware detectie en dergelijke op linux naar de prullebak verwijzen.
Welk OS je ook gebruikt, het is altijd de beheerder/gebruiker welke het grootste risico vormt.
14-09-2009, 15:00 door Anoniem
Wie beweerd nog dat Linux veilig is? Als dat zo is, dan leeft die persoons waarschijnlijk nog in een sprookjes wereld.
Hackers willen ons juist het tegendeel bewijzen. Ze geven een waarschuwing aan de Linux gebruikers.
"You are not safe anymore" Als gebruiker ben je verdoemd!

Setji.sec/OsdCrew.ams.
14-09-2009, 15:26 door spatieman
goh.
oud bericht.
ze krijgen ook eens wat binnen.
14-09-2009, 16:12 door Anoniem
Sjeemig, voor zover ik weet claimen alleen linux-fanboys dat linux ultra-veilig is. Ikzelf werk in de praktijk, en de praktijk leert dat elke machine beveiligd moet worden. Nou is het wel zo dat Linux vaak wat sneller gepatched wordt en dat de periode van bekend worden van een bug tot het daadwerkelijk patchen een stuk korter is. Maar dat helpt niet tegen idioten die Linux gaan draaien en dan inderdaad makkelijk te raden wachtwoorden gebruiken voor o.a. het root-account, of hun machines niet up to date houden!

Dus, server-beheerders; houd je servers up to date en verander wachtwoorden regelmatig, en draai geen onnodige services naar het internet. Sterker nog, monitor welke listen-poorten er door wie geopend worden en let op dingen die abnormaal zijn! Oh, en het helpt ook als je ook daadwerkelijk van van je besturingssysteem afweet.
14-09-2009, 16:15 door Anoniem
Het is ook altijd hetzelfde, is er iets met linux, zijn de windows huilies er het eerste bij om de frustraties te plempen. Idem Firefox vs IE ed. Lekker belangrijk luitjes.
14-09-2009, 16:23 door Anoniem
Door Anoniem: Dit laat maar weer eens zien dat het sprookje dat 'linux veilig is' niet op gaat - en dat vulnerabilities ook in de applicaties kunnen zitten die op een OS draaien. Misschien toch iets om over na te denken voor de 'linux is veilig' evangelisten hier, en die per definitie het idee van patch management, malware detectie en dergelijke op linux naar de prullebak verwijzen.

De Linux-haters kunnen niet alleen slecht luisteren, ze kunnen ook slecht lezen ....
14-09-2009, 16:52 door Anoniem
De Windows-haters krijgen nou een koekje van eigen deeg. En wat doen ze? Precies wat ze Windowsgebruikers verwijten. De pot en de ketel dus. En dan ook nog eens roepen dat het allemaal niet zo belangrijk is. Nee hoor, natuurlijk niet. Ga maar lekker door met schelden op die Windows-malloten.

Weet je wat nou eens echt positief zou zijn? Niet meer op producten van anderen schelden. Als jullie daar nou eens mee zouden stoppen en iedereen in zijn waarde laten, dan zou de wereld een stuk positiever worden. Windowsgebruikers zijn het zo langzamerhand spuugzat om steeds maar weer uitgelachen te worden omdat ze zulke stomme software gebruiken. Lekker positief allemaal. Niks is veilig, of het nou Windows of Linux is. Dus kap nou eens met dat zogenaamde intelligente gedoe, Linuxgebruikers! Verbeter de wereld en begin nou eens bij jezelf.
14-09-2009, 17:06 door Zipper306
Linux servers gehackt, zal de schuld van Microsoft wel weer zijn.
14-09-2009, 17:48 door Anoniem
Dit laat maar weer eens zien dat het sprookje dat 'linux veilig is' niet op gaat ...
Dat linux veilig is, heeft het in de afgelopen decennia al bewezen. Dat is geen sprookje.
Misschien haal je 'veilig' en 'onkwetsbaar' door elkaar?

... de 'linux is veilig' evangelisten hier, en die per definitie het idee van patch management, malware detectie en dergelijke op linux naar de prullebak verwijzen.
Verwijzen linux-evangelisten patch-management naar de prullenbak?
En vertel eens wat het nut is van malware detectie als er geen malware is?

De Windows-haters krijgen nou een koekje van eigen deeg
Niet helemaal, de servers zijn gehackt en niet door de zoveelste malware-plaag gegrepen.

Windowsgebruikers zijn het zo langzamerhand spuugzat om steeds maar weer uitgelachen te worden omdat ze zulke stomme software gebruiken.
Sorry, maar dat is toch ook om te lachen? :)

Linux servers gehackt, zal de schuld van Microsoft wel weer zijn.
Wat voor OS draaien de bots eigenlijk?
14-09-2009, 18:04 door Anoniem
Door Anoniem: Het is ook altijd hetzelfde, is er iets met linux, zijn de windows huilies er het eerste bij om de frustraties te plempen. Idem Firefox vs IE ed. Lekker belangrijk luitjes.

En andersom....
14-09-2009, 18:33 door Kukel
Door spatieman: goh.
oud bericht.
ze krijgen ook eens wat binnen.

Nou, nou... zo oud toch ook weer niet? Meerdere (internationale) respectabele security gerelateerde sites brengen het nieuws vandaag.

Ennuhh.... Symbian rules.... (om de flamewar maar een andere richting op te sturen)

Oh... en ik zou het respecteren als iedereen niet 'anoniem' zou posten. Maak eventueel een nietszeggende naam aan, maar dan kunnen we wel zien wie wat elke keer zegt.

Dank.
14-09-2009, 19:06 door Anoniem
Wel grappig. Is dit nou DE triomf voor Windows?!? Wordt er nu door de Windows liefhebbers eindelijk toegegeven dat het inderdaad zo slecht gesteld is met Windows? Ze zijn zo blij met dit nieuws item, dat ze helemaal vergeten om het goed te lezen en er kritisch over na te denken.

Ik geef toe dat er veel Anti Windows / Microsoft is en dat Linux liefhebbers zich teveel afzetten hiertegen (dat is toch niet nodig jongens en meisjes). Maar de meeste Windows adepten vind ik wel erg naief.

Resumé;
- 100 domeinen
- 77 IP adressen
=> 30 servers => van één hoster?

Misschien is er niet eens sprake van een hack maar van opzet !
14-09-2009, 19:23 door Anoniem
Linux is veel onveiliger is dan Windows; dat wijzen de feiten iedere keer uit.
14-09-2009, 19:28 door Anoniem
Ik wil niet te traceren zijn onder een bepaald account.

Ach ja, laat die OS war nou voor wat het is Windows maakt ook vooruitgang alleen gaat het niet zo heel snel. Jammer dat er een dergelijk probleem gevonden is in een Linux programma en dat er natuurlijk ook clue less systeembeheerders zijn die Linux draaien.
14-09-2009, 22:04 door Anoniem
het is OF een nieuw lek, of het zijn gewoon ssh logins die root zijn met een zwak password, en dan maakt t geen fuck uit welk O/S je draait, ik snap niet dat het altijd dat windows/linux verhaaltje moet zijn, veelal is het de fout van een domme sysadmin die 3rd party tools niet update of z'n wachtwoordbeheer niet op orde heeft

- Mystic^
15-09-2009, 00:51 door Anoniem
Als de wachtwoorden van de administrator of in dit geval root bekend zijn, dan is geen enkel OS veilig. Kun je niet tegenaan patchen.
15-09-2009, 01:05 door ahimza
Hey heikneuters lees eens goed!

Het gaat om gehackte machines. Ik zie niet staan hoe ze gehacked zijn. Dit hoeft niet met enige vorm van malware te maken te hebben (lijkt me zelfs heel sterk). Als een hacker een lek gevonden heeft kan hij dat misbruiken. Dan maakt het niet uit over welk OS we het hebben. Daarom zijn mensen die beweren dat linux volledig veilig is heel erg blind.

Het is wel zo dat je dmv. linux zo goed als geen last hebt van virussen, spyware enz. Dit komt niet alleen omdat het rechtensysteem veel beter is maar ook omdat je heel veel software van een centrale plek haalt (packagemanager). Dat bespaart je heel veel ellende ALS er virussen en dergelijke in omloop zouden zijn.
Als je dit soort berichten over linux hoort gaat het vrijwel altijd om incidentele gevallen. Bij MS is het dagelijkse kost.
Ik ben geen Linux fanboy of Windows hater maar bekijk de feiten zonder vooroordeel en dan blijf ik toch op Linux als veiliger OS uit komen om tal van redenen
15-09-2009, 05:11 door Anoniem
Wat nou Linux onveilig? Ik denk eerder dat ze op een Gumblar-achtige manier achter het root password zijn gekomen. Sowieso zijn die bakken slecht geconfigureerd, zo staat in het artikel. Mensen die hier Linux de schuld geven zijn heel kortzichtig bezig. Zij zullen wel in grote bedrijven werken want met hun vingertje naar anderen wijzen kunnen ze iig goed.
15-09-2009, 08:34 door Anoniem
Als het gemiddelde niveau van bovenstaande reacties iets zegt over het gemiddelde niveau van de betreffende schrijvers, dan maak ik mij toch ernstige zorgen over de veiligheid van het Nederlandse deel van het Internet (ervan uitgaande dat de schrijvers daar invloed op hebben).

Wat een zielig gezeur zeg!

Jullie kopen zeker ook allemaal een Renault omdat die 5 sterren in de crash test heeft? Het is uiteindelijk de bestuurder van de auto die invloed heeft op de schade die met die auto wordt aangericht en zo is het ook met besturingssystemen.
15-09-2009, 10:15 door Thasaidon
Ik ben geen linux of windows hater. Ik probeer het beste van 2 werelden te pakken :)
Daarom draai ik Windows op mijn desktop, Linux op mijn laptop en heb ik een Linux router/firewall/server.

Op die Linux server heb ik het root account "uit" gezet, zodat alleen lokale processen hiervan gebruik mogen maken, maar root mag niet inloggen als lokale gebruiker of remote gebruiker.
Hiernaast heb ik een totaal andere gebruiker aangemaakt, welke wel root rechten heeft voor het beheer van die machine.

Dat dus deze Linux servers gehacked zijn, zal voornamelijk te wijten zijn aan root accounts met simpele wachtwoorden welke op de servers draaiden.

Zoals ik al eerder zei... Het is de gebruiker/beheerder welke het grootste risico vormt bij welk OS dan ook.
15-09-2009, 10:24 door Anoniem
Shit zeg.. ik waande me op het FOK forum. Ontdek ik plotseling dat het Security.nl is hahahaha
15-09-2009, 12:43 door Anoniem
"Mogelijk duizenden Linux-servers gehackt"

Mogelijk zijn er miljoenen Linux-servers gehacked. Enige onderbouwing ontbreekt voor het genoemde aantal.

"De Linux-haters kunnen niet alleen slecht luisteren, ze kunnen ook slecht lezen ...."

De reactie kwam van mij vandaan. Je veronderstelling dat ik linux zou haten is volstrekt voorbarig en onjuist (al verbazen dergelijke reacties mij hier helaas niet bepaald). Ik heb helemaal niets tegen Linux, of tegen welk OS dan ook. Ik heb wat tegen naieviteit van sommigen die denken dat bepaalde produkten inherent veilig zijn, zonder daarbij te beseffen dat het niet alleen gaat om het gebruikte OS, maar ook om de configuratie, de applicaties die op het systeem draaien, en ga zo maar door.

Indien ik bijvoorbeeld aangeef dat ook applicaties op een systeem vulnerabilities kunnen bevatten, wat heeft dat dan van doen met "Linux haten" ? Indien Adobe Acrobat Reader een vulnerability bevat die van toepassing is op alle systemen waarvoor Adobe Acrobat Reader is uitgegeven, ben ik dan opeens een Linux/MacOSX/Unix/Windows/Enzovoort hater ? En indien ik morgen op mijn werk bezig ben om een Cisco vulnerability aan te pakken, haat ik dan plotseling Cisco netwerkapparatuur ?

"De Windows-haters krijgen nou een koekje van eigen deeg. En wat doen ze? Precies wat ze Windowsgebruikers verwijten. De pot en de ketel dus. En dan ook nog eens roepen dat het allemaal niet zo belangrijk is. Nee hoor, natuurlijk niet. Ga maar lekker door met schelden op die Windows-malloten."

"Wel grappig. Is dit nou DE triomf voor Windows?!?"

Waarom zien mensen discussies over de beveiliging van Linux altijd in relatie tot Windows, en waarom kan er geen discussie gevoerd worden over dit onderwerp zonder dat het in een Linux/Windows discussie eindigt ? Volgens mij heeft dit artikel in het geheel niets met Windows van doen, en men moet ook eens over beveiligingsproblemen in Linux kunnen discussieren zonder dat Windows er bijgesleept wordt en vice versa.
15-09-2009, 14:26 door mathijsk
Wat een geblaat weer tussen fanboys, dat verziekt de discussie over een dergelijk topic altijd weer.

Welk os ook, de zwakste schakel zit achter het toetsenbord.
Dat er ook voldoende linux servers te vinden zijn die slecht beheerd worden door mensen die er eigenlijk niet de benodigde kennis voor hebben verbaast me niet echt.
Daarnaast zijn gebruikers met zwakke wachtwoorden en een local exploit ook een combinatie die een dergelijk probleem kan opleveren. Op welk os dat gebeurt is niet relevant en zegt weinig over het os.
Je kunt zowel een *nix als windows server opzetten die veilig is en daarnaast kan dat ook in beide gevallen onveilig.
Daarnaast is een keer gehacked worden een heel goede leerschool voor beginnende beheerders, dat is mijzelf vroeger ook een keer gebeurd net voordat ik op vakantie wilde en ik kan toch wel zeggen dat het tegenwoordig een stuk moeilijker is om iets op mijn systemen uit te vreten wanneer een zwakheid gevonden is.

Wat betreft het windows vs linux flamegedoe, gebruik lekker waar je jezelf fijn bij voelt. Dat is ook het veiligste aangezien je daar de meeste kennis van hebt. Dat je een windowsbeheerder geen linuxserver moet laten beheren en een linuxbeheerder geen windowsserver is een feit. Wanneer je van een os te weinig weet of er te weinig mee werkt om je kennis up to date te houden, is dat een zwaar vergrote kans op fouten. Van die fouten is er vaak maar een nodig voor kwaadwillenden.

In plaats van iedere keer een flamewar te starten bij een dergelijk artikel, zou wederzijds respect misschien beter op zijn plaats zijn. Dan hebben we meer kans op een discussie waarin zaken besproken worden waar we allemaal wijzer van worden.
Namelijk wie een compromised systeem vind binnen eigen omgeving en wat diegene kan vinden aan hoe de kwaadwillenden binnen zijn gekomen. Dat zou ik een stuk interessanter vinden dan dit geroep.
Op dit moment doet alleen niemand een dergelijke post, omdat er grote kans is dat daaronder alleen maar dergelijk geblaat als reacties retour komt.
16-09-2009, 10:44 door Anoniem
"Dat linux veilig is, heeft het in de afgelopen decennia al bewezen. Dat is geen sprookje. Misschien haal je 'veilig' en 'onkwetsbaar' door elkaar?"

Volgens mij snap jij het concept veilig niet. Immers hangt de vraag of een linux systeem veilig is erg af van de vraag hoe het systeem is geconfigureerd, welke applicaties erop draaien, of beveiligingspatches zijn geinstalleerd, en ga zo maar door. Een systeem dat jij kennelijk als 'veilig' kenmerkt kan zo lek zijn als een mandje. Verder is geen enkel systeem onkwetsbaar.
16-09-2009, 17:26 door Anoniem
Volgens mij is een een systeem net zo veilig als de kennis/tijd(!) die een beheerder steekt in het up-2-date houden van het systeem.

Geez... gooi al die heilige huisjes aan de kant, stop die zinloze discussies en ga gewoon aan het patc^H^H^H^Hwerk.
17-09-2009, 21:08 door SirDice
Wat mij opvalt is dat niemand door lijkt te hebben dat root rechten helemaal niet noodzakelijk zijn voor deze hack.

Bij lekke forum of CMS software is vaak command of file injection mogelijk. Hierdoor kun je eenvoudig bestanden 'downloaden' op de gekraakte server. Aangezien die nginx webserver bestaat uit 1 enkele executable is dat makkelijk ergens vandaan te draaien (/tmp bijvoorbeeld). Komt er ook nog bij dat het draait op port 8080. Wat gewoon allemaal mogelijk is met het www/nobody account.

Dat root wachtwoorden gesniffed zouden zijn is dus wellicht helemaal niet het geval.
21-09-2009, 13:38 door Anoniem
Door Anoniem: Windowsgebruikers zijn het zo langzamerhand spuugzat om steeds maar weer uitgelachen te worden omdat ze zulke stomme software gebruiken..

Kan ik het helpen dat je zo dom bent om MS probducten te gebruiken? Dat is trouwens niet op te lachen, maar om te huilen.
21-11-2009, 10:31 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.