Med 150 Gb/s kan XOR DDoS-botnet nu lægge selv store servere ned

1. oktober 2015 kl. 11:309
Over tid er den trojanske hest XOR DDOS blevet spredt til så mange Linux-enheder, at de udgør et formidabelt netværk, der kan udføre enormt tunge DDoS-angreb.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der er nu så mange noder i XOR DDoS-netværket, at det kan levere et tryk på 150 Gb/s med ligegyldige forespørgsler til en server og dermed lægge den ned. Et DDoS-angreb af den størrelse er stort nok til, at det som lille eller mellemstor virksomhed vil være for dyrt at beskytte sig mod, siger Henrik Kramshøj, som er direktør hos Solido Networks, som sælger løsninger til virksomheder, der blandt andet ønsker at beskytte sig mod DDoS-angreb.

De fleste servere er dermed prisgivet, skulle de blive mål for XOR DDoS eller et lignende botnet.

»Det er et spørgsmål om penge. Vil man beskytte sig mod bare 100 Gb/s, kræver det en investering på en til to millioner ud over et betragteligt månedligt beløb for øget båndbredde,« siger Henrik Kramshøj, der forklarer, at det for de fleste mindre og mellemstore virksomheder ikke kan betale sig at investere så mange penge i noget, der står ubenyttet hen, indtil et DDoS-angreb indtræffer.

Botnettet har været kendt i over et år og er blevet registreret brugt til angreb op til tyve gange om dagen. Indtil nu har angrebene hovedsageligt ramt asiatiske undervisnings- og uddannelsessites, der har måttet bukke under for det 150 Gb/s store pres.

Inficerer Linux-maskiner

Botnettet udvides med en såkaldt trojansk hest, som cracker koden til Linux-baserede enheders Secure Shell-services. Herefter henter og kører den et lille Bash shell-script, som henter og kører ondsindet kode, der gør enheden til en node i botnettet.

Artiklen fortsætter efter annoncen

'XOR DDoS er et billede på en udvikling, hvor angribere bygger botnets på kompromitterede Linux-enheder med henblik på at foretage DDoS-angreb. Det sker langt oftere nu end førhen, hvor Windows-maskiner var hovedmål for DDoS-malware,' skriver Stuart Scholly, som er chef i CDN-firmaet Akamais sikkerhedsenhed.

Vil man undersøge, om ens enhed er en del at bot-netværket, har Akamai udgivet en manual til opdagelse og fjernelse af softwaren. Der er dog flere eksempler på geninficering.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
2. oktober 2015 kl. 00:37

Hvis man endelig vil være pedant så er knude forkert, men "kundepunkt" er korrekt såfremt man taler om et samlingspunkt. Derimod er en "node" ( her det engelske ord) en komponent i et computernetværk ("Node" §6 Oxford dictionary of current english ) og har absolut intet et knudepunkt at gøre.

8
1. oktober 2015 kl. 18:31

Når vi snakker om enheder som arbejder sammen e.l. så hedder det fint nok "node" på engelsk. Et "MS cluster" består eks. af "nodes". Og når vi eks. taler om infrastruktur bruger vi tit "node".
På dansk vil "knude" da være helt forkert.

Nej.

Det engelske ord 'node' anvendes sammen med ordet 'edge' i grafteori (som kan bruges til at beskrive netværk).

På dansk oversættes det til 'knude' (og 'edge' til 'kant').

PS. Det er muligvis et upopulært synspunkt, men det er min erfaring at folk der ikke kan oversætte et ord til dansk ikke har en god forståelse for det.

7
1. oktober 2015 kl. 15:02

Kan se at minimum én tidligere CnC server har været registreret i Hongkong. Man kunne forestille sig at det besværliggør sinkholing og lukning, men kun til en vis grad. Hvis bagmændene er kloge, gemmer de løbende en liste med brugeroplysninger, i tilfælde af overtagelse af hoved- samt backup servere. Så vil det ikke kræve særligt mange ressourcer at få deres bots tilbage. Man kunne jo selv lave en orm, der finder svagt sikrede SSH services, og så automatisk ændrer koden til en sikker og stærk version. Det ville svække denne type trussel, men også være til gene for de berørte enheder, og nok ikke være helt lovligt ;)

6
1. oktober 2015 kl. 14:38

Debian hos (cloud) hosting udbyderne hos typisk leveres med et tilfældig genereret root password (af svingende kvalitet og længde).

Både SSH og login som root er også tilladt typisk.

Så der skal vel ikke meget til før en lidt doven person liiiiige ændre root passwordet til noget nemt at huske eller slet ikke ændre det :-)

Der skal nok være mange ikke-sagkyndige de lejer virtuelle maskiner til f.eks. Minecraft, TeamSpeak eller andre gaming relateret ting

De får nok heller ikke lige installeret ting så som fail2ban eller for den sags skyld tjekker auth log filer.

5
1. oktober 2015 kl. 14:29

Når vi snakker om enheder som arbejder sammen e.l. så hedder det fint nok "node" på engelsk. Et "MS cluster" består eks. af "nodes". Og når vi eks. taler om infrastruktur bruger vi tit "node". På dansk vil "knude" da være helt forkert.

4
1. oktober 2015 kl. 12:41

Det hedder ikke en "node" (det er noget med musik), men derimod en "knude".

1
1. oktober 2015 kl. 12:13

Det er selvfølgelig værd at tjekke efter (med ClamAV, ikke det dér Akamai), om ens Linux-maskine er inficeret.

Men så vidt, jeg kan læse mig frem til, er det ret usandsynligt. Her er truslen for Ubuntu opsummeret:

Any Ubuntu machine that might be susceptible to this XOS.DDoS attack, is in a very small minority of the millions of Ubuntu systems in the world. Specifically, a vulnerable Ubuntu machine has been individually and manually configured by its administrator to:</p>
<ol><li>permit SSH root password authentication, AND</li>
<li>have set a root password, AND</li>
<li>have chosen a poor quality root password that is subject to a brute force attack</li>
</ol><p>