Med 150 Gb/s kan XOR DDoS-botnet nu lægge selv store servere ned

Illustration: Virrage Images/Bigstock
Over tid er den trojanske hest XOR DDOS blevet spredt til så mange Linux-enheder, at de udgør et formidabelt netværk, der kan udføre enormt tunge DDoS-angreb.

Der er nu så mange noder i XOR DDoS-netværket, at det kan levere et tryk på 150 Gb/s med ligegyldige forespørgsler til en server og dermed lægge den ned. Et DDoS-angreb af den størrelse er stort nok til, at det som lille eller mellemstor virksomhed vil være for dyrt at beskytte sig mod, siger Henrik Kramshøj, som er direktør hos Solido Networks, som sælger løsninger til virksomheder, der blandt andet ønsker at beskytte sig mod DDoS-angreb.

De fleste servere er dermed prisgivet, skulle de blive mål for XOR DDoS eller et lignende botnet.

Læs også: Dagligt får op til 100 danskere lammet deres internetforbindelse af personlige chikane-angreb

»Det er et spørgsmål om penge. Vil man beskytte sig mod bare 100 Gb/s, kræver det en investering på en til to millioner ud over et betragteligt månedligt beløb for øget båndbredde,« siger Henrik Kramshøj, der forklarer, at det for de fleste mindre og mellemstore virksomheder ikke kan betale sig at investere så mange penge i noget, der står ubenyttet hen, indtil et DDoS-angreb indtræffer.

Botnettet har været kendt i over et år og er blevet registreret brugt til angreb op til tyve gange om dagen. Indtil nu har angrebene hovedsageligt ramt asiatiske undervisnings- og uddannelsessites, der har måttet bukke under for det 150 Gb/s store pres.

Inficerer Linux-maskiner

Botnettet udvides med en såkaldt trojansk hest, som cracker koden til Linux-baserede enheders Secure Shell-services. Herefter henter og kører den et lille Bash shell-script, som henter og kører ondsindet kode, der gør enheden til en node i botnettet.

Læs også: Ny voldsom type DDoS-angreb

'XOR DDoS er et billede på en udvikling, hvor angribere bygger botnets på kompromitterede Linux-enheder med henblik på at foretage DDoS-angreb. Det sker langt oftere nu end førhen, hvor Windows-maskiner var hovedmål for DDoS-malware,' skriver Stuart Scholly, som er chef i CDN-firmaet Akamais sikkerhedsenhed.

Vil man undersøge, om ens enhed er en del at bot-netværket, har Akamai udgivet en manual til opdagelse og fjernelse af softwaren. Der er dog flere eksempler på geninficering.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benjamin Balder

Det er selvfølgelig værd at tjekke efter (med ClamAV, ikke det dér Akamai), om ens Linux-maskine er inficeret.

Men så vidt, jeg kan læse mig frem til, er det ret usandsynligt. Her er truslen for Ubuntu opsummeret:

Any Ubuntu machine that might be susceptible to this XOS.DDoS attack, is in a very small minority of the millions of Ubuntu systems in the world. Specifically, a vulnerable Ubuntu machine has been individually and manually configured by its administrator to:

  1. permit SSH root password authentication, AND
  2. have set a root password, AND
  3. have chosen a poor quality root password that is subject to a brute force attack
  • 5
  • 0
Rolf C. Torp

Når vi snakker om enheder som arbejder sammen e.l. så hedder det fint nok "node" på engelsk. Et "MS cluster" består eks. af "nodes". Og når vi eks. taler om infrastruktur bruger vi tit "node".
På dansk vil "knude" da være helt forkert.

  • 3
  • 4
Kim Henriksen

Debian hos (cloud) hosting udbyderne hos typisk leveres med et tilfældig genereret root password (af svingende kvalitet og længde).

Både SSH og login som root er også tilladt typisk.

Så der skal vel ikke meget til før en lidt doven person liiiiige ændre root passwordet til noget nemt at huske eller slet ikke ændre det :-)

Der skal nok være mange ikke-sagkyndige de lejer virtuelle maskiner til f.eks. Minecraft, TeamSpeak eller andre gaming relateret ting

De får nok heller ikke lige installeret ting så som fail2ban eller for den sags skyld tjekker auth log filer.

  • 2
  • 0
Malcolm Xander

Kan se at minimum én tidligere CnC server har været registreret i Hongkong. Man kunne forestille sig at det besværliggør sinkholing og lukning, men kun til en vis grad.
Hvis bagmændene er kloge, gemmer de løbende en liste med brugeroplysninger, i tilfælde af overtagelse af hoved- samt backup servere. Så vil det ikke kræve særligt mange ressourcer at få deres bots tilbage.
Man kunne jo selv lave en orm, der finder svagt sikrede SSH services, og så automatisk ændrer koden til en sikker og stærk version. Det ville svække denne type trussel, men også være til gene for de berørte enheder, og nok ikke være helt lovligt ;)

  • 0
  • 0
Lars Lundin

Når vi snakker om enheder som arbejder sammen e.l. så hedder det fint nok "node" på engelsk. Et "MS cluster" består eks. af "nodes". Og når vi eks. taler om infrastruktur bruger vi tit "node".
På dansk vil "knude" da være helt forkert.

Nej.

Det engelske ord 'node' anvendes sammen med ordet 'edge' i grafteori (som kan bruges til at beskrive netværk).

På dansk oversættes det til 'knude' (og 'edge' til 'kant').

PS. Det er muligvis et upopulært synspunkt, men det er min erfaring at folk der ikke kan oversætte et ord til dansk ikke har en god forståelse for det.

  • 6
  • 1
Marcus Jensen

Hvis man endelig vil være pedant så er knude forkert, men "kundepunkt" er korrekt såfremt man taler om et samlingspunkt. Derimod er en "node" ( her det engelske ord) en komponent i et computernetværk ("Node" §6 Oxford dictionary of current english ) og har absolut intet et knudepunkt at gøre.

  • 1
  • 0
Log ind eller Opret konto for at kommentere