CDN服務商Akamai警告Linux主機成為DDoS攻擊僵尸網絡
責編:admin |2014-09-05 14:05:35著名CDN服務商昨天Akamai發出警告,黑客利用入侵的Linux服務器感染IptabLes及IptabLex病毒,使之成為僵尸網絡并對娛樂業企業發動DDoS攻擊。
Akamai安全負責人稱:
「在Linux系統內受IptabLes及IptabLex感染的惡意軟件中,我們追查到2014年其中一宗最大型的DDoS攻擊行動。這可以說是網絡安全發展的一大變化,因為過去Linux系統往往不會用于DDoS僵尸網絡中。惡意攻擊者可從沒有修補的Linux軟件中的已知漏洞發動DDoS攻擊。Linux管理員需要了解這些威脅,并作出相應舉動,才能保護他們的服務器。」
僵尸網絡是如何形成的
透過Apache Struts、Tomcat及Elasticsearch的漏洞,IptabLes及IptabLex得以大規模地在Linux服務器廣泛散播。攻擊者利用Linux未被修復的服務器漏洞取得存取、升級權限,并遙距操控機器,再在系統中加入及運行惡意編碼。最后,使系統能夠成為DDoS僵尸網絡中的一部份,被遙距操控。
其中一個確認感染的指標是/boot目錄內名為.IptabLes或.IptabLex的負載,這些程式在重新啟動時會運行二元檔案.IptabLes。該惡意軟件還包含自我更新功能,受感染的系統會聯絡遠端主機下載檔案。在實驗中,受感染的系統曾嘗試聯絡兩個位于亞洲的IP位址。
現在,IptabLes及IptabLex的指令及控制中心位處亞洲。受感染的系統最初是由亞洲開始,但愈來愈多近期的感染是來自美國及其他地區的服務器。于過去,大部分DDoS僵尸病毒感染源自俄羅斯,可現在亞洲成了DDoS發展一個重要的源頭。
一些信息
1、Akamai安全工程師及研究小組發現了DDoS攻擊是由IptabLes IptabLex僵尸網絡驅動的
2、這些僵尸機器人使用了明顯的攻擊負載,如DNS攻擊和SYN Flood攻擊
3、攻擊流量達到119Gbps帶寬,110 Mpps
4、惡意程序中兩個硬編碼的回傳IP地址來自中國
5、惡意程序只運行于Linux系統,所有的二進制程序和漏洞利用程序沒有外界依賴