image

Linux-malware infecteert 1400 webservers

maandag 21 juli 2014, 14:39 door Redactie, 10 reacties

Onderzoekers hebben Linux-malware ontdekt die wereldwijd zo'n 1400 webservers heeft geïnfecteerd. Mayhem, zoals de malware wordt genoemd, is in werkelijkheid een PHP-script dat besmette webservers onderdeel van een botnet maakt, dat vervolgens kan worden gebruikt om websites aan te vallen.

Het gaat dan om brute force-aanvallen waarbij het botnet probeert om op FTP, WordPress- en Joomla-websites in te loggen. Daarnaast kan het botnet ook worden ingezet om bruikbare informatie over websites te verzamelen. Volgens de onderzoekers hebben webservers verschillende voordelen ten opzichte van consumentencomputers. Zo beschikken ze over meer bandbreedte en rekenkracht en hebben ze een hogere uptime.

Verspreiding

Hoe Mayhem zich precies verspreidt laten de onderzoekers in hun rapport niet weten, maar ze merken op dat in de Linux-wereld automatische updates niet veel worden gebruikt, zeker in vergelijking met desktops. Dit houdt in dat de meeste webmasters en beheerders de software op de server handmatig moeten updaten. "En vaak hebben webmasters niet de gelegenheid om het te doen", concludeert het rapport. Het zou hierdoor eenvoudig voor aanvallers worden om kwetsbare webservers te vinden en die aan hun botnets toe te voegen.

Volgens de onderzoekers is er wel een connectie met het Fort Disco-botnet, dat vorig jaar werd ontdekt. Dit botnet bestond uit 25.000 Windowscomputers en probeerde ook via brute force-aanvallen toegang tot WordPress- en Joomla-sites te krijgen. Mayhem zou een voortzetting van Fort Disco zijn. De meeste geïnfecteerde webservers werden in de Verenigde Staten, Rusland, Duitsland en Canada aangetroffen.

Reacties (10)
21-07-2014, 16:15 door rsterenb
Dus eigenlijk heeft het niets met Linux of Windows te maken, maar wel met FTP servers, Joomla- en Wordpress-websites.
21-07-2014, 16:54 door Floor
Door rsterenb: Dus eigenlijk heeft het niets met Linux of Windows te maken, maar wel met FTP servers, Joomla- en Wordpress-websites.

Er wordt om de een of andere rede niet goed geupdate en dat is dan weldegelijk een verbeterpunt. Waarom wordt er niet goed geupdate is de vraag die gesteld moet worden. Het wijzen naar de software is dan van minder belang op dit moment.
21-07-2014, 19:16 door [Account Verwijderd]
[Verwijderd]
21-07-2014, 19:30 door Skizmo
Door rsterenb: Dus eigenlijk heeft het niets met Linux of Windows te maken, maar wel met FTP servers, Joomla- en Wordpress-websites.
Het is de al oude schakel... de mens.


Ik lees dat het om een Linux specifieke variant van een PHP-script gaat.
Dan zou ik graag je bril willen lenen, want ik lees dat nergens.
21-07-2014, 20:15 door [Account Verwijderd] - Bijgewerkt: 21-07-2014, 20:31
[Verwijderd]
22-07-2014, 09:42 door Anoniem
De meeste malware voor Linux servers bestaat uit PHP scripts en die zijn aanwezig op vele duizenden PHP servers. De gehackte servers worden gebruikt voor het hosten van malware, phishing en spam pagina's.

Het probleem is niet altijd dat er geen updates plaatsvinden, maar dat de installaties geen deel uitmaken van Linux distributies. Het zijn vaak losse PHP apps, die geen updates krijgen (End Of Life). Vaak zijn ze al niet meer ondersteunt.

Daardoor lopen oude servers veel risico gehackt te worden. De meeste van die servers hosten kleine sites. De eigenaar staat er niet bij stil dat beheer nodig is. Ze hebben er gewoon geen verstand van.
22-07-2014, 11:35 door Anoniem
Dit betreft niet alleen php scripts, maar ook shell scripts. en static ilbraries, geent op Linux en FreeBSD.
23-07-2014, 09:55 door Anoniem
Door Floor:
Door rsterenb: Dus eigenlijk heeft het niets met Linux of Windows te maken, maar wel met FTP servers, Joomla- en Wordpress-websites.

Er wordt om de een of andere rede niet goed geupdate en dat is dan weldegelijk een verbeterpunt. Waarom wordt er niet goed geupdate is de vraag die gesteld moet worden. Het wijzen naar de software is dan van minder belang op dit moment.

Dat heeft er mee te maken dat het vaak toch wel een hoop handwerk vereist.
Waar de Windows gebruiker even "windows update" doet en een 10 jaar draaiende installatie weer voorziet van de laatste
veiligheidsupdates, worden in de Linux wereld vaak alleen de meest recente versies onderhouden en moet je voor zo'n
update dus migreren naar de nieuwste versie. Dat betekent vaak (zeker als je het al een tijdje hebt laten liggen) een
hoop werk om allerlei dingen die ineens "legacy" of "deprecated" zijn verklaard aan te passen.
Op een gegeven moment moet je ook je PHP versie updaten of andere libraries, blijkt dat alleen handig te kunnen als
je het hele systeem herinstalleert, en wordt de drempel nog weer hoger.
Dat wordt dan iets voor "als we er tijd voor hebben" en naarmate dat langer blijft liggen wordt het een steeds groter
probeem.
23-07-2014, 14:44 door Anoniem
Samengevat: iemand op internet roept dat er een malware programmatje is gevonden, laat na met bewijs als code en analyse daarvan te komen en conclusie is dat linux servers onveilig zijn. Lalala. Probeer het nogmaals.
24-07-2014, 09:33 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.