XOR-Botnetz: Gekaperte Linux-Server feuern volle Breitseite

Infografik: Was ist ein Botnetz
In der letzten Zeit verzeichnete der CDN-Betreiber Akamai solche Aktivitäten von einem Botnetz, das als XOR bezeichnet wird. Über dieses liefen nach Angaben des Unternehmens zuletzt reihenweise Attacken auf die Server verschiedener Seiten aus dem asiatischen Raum. Betroffen waren unter anderem Gaming-Webseiten und die Online-Angebote verschiedener Bildungseinrichtungen.

Und wer nicht gerade mit einer sehr starken Leitung und/oder ordentlichen Sicherheits-Vorkehrungen gesegnet war, ging quasi unverzüglich offline. Denn die Angriffe des Botnetzes erreichten - wohl abhängig von der Leistungsfähigkeit der Ziel-Server - eine Wucht, die in Form von bis zu 150 Gigabit pro Sekunde auf die betroffenen Systeme einschlug. In einem Fall sollen sogar 400 Gigabit pro Sekunde auf einen Webserver eingeprasselt sein.

Leichtsinnige Admins

Das Ärgerliche aus Sicht der Sicherheitsforscher ist dabei, dass bereits der Aufbau des Botnetzes vor allem auf Nachlässigkeiten der jeweiligen Administratoren beruhte. Denn die Betreiber der Infrastruktur nutzten keineswegs Bugs in den Diensten auf dem jeweiligen Rechner, um sich Zugang zu verschaffen. Stattdessen suchten sie nach SSH-Logins und knackten per Brute Force die Passwörter. Weitergehendes Interesse an dem jeweiligen Server zeigten sie auch nur, wenn es einen Zugang mit root-Rechten zu holen gab.

Mit einem solchen war es dann natürlich kein Problem mehr, die benötigte Malware auf dem System zu installieren. Das wäre zu vermeiden gewesen, wenn der Zugang via SSH von Außen grundsätzlich deaktiviert worden wäre - was in vielen Netzwerken durchaus auch der Fall ist. Wenn SSH zwingend auch aus dem Internet erreichbar sein muss, sollte aber zumindest kein root-Login möglich sein.