Nieuws
image

Groot DDoS-botnet van tienduizenden routers ontdekt

dinsdag 12 mei 2015, 17:16 door Redactie, 3 reacties

Onderzoekers hebben een wereldwijd botnet ontdekt dat uit tienduizenden gekaapte routers bestaat en gebruikt wordt voor het uitvoeren van DDoS-aanvallen op websites. Dat meldt beveiligingsbedrijf Incapsula in een nieuw rapport. Hoewel de gekaapte routers in 109 verschillende landen werden aangetroffen, bleek dat een meerderheid (85%) zich in Brazilie en Thailand bevindt.

De routers worden weer aangestuurd via servers die in China en de Verenigde Staten staan. De onderzoekers dachten in eerste instantie dat de routers via een kwetsbaarheid in de firmware waren overgenomen. Verder onderzoek liet echter zien dat alle apparaten via de standaardpoorten op HTTP en SSH toegankelijk waren. Ook was in bijna alle gevallen het standaardwachtwoord niet gewijzigd.

Zo konden de aanvallers de "MrBlack" malware op de routers installeren. Daarnaast werd er op de gekaapte routers een script geïnstalleerd dat naar andere kwetsbare routers zocht. Om dit soort aanvallen te voorkomen krijgen gebruikers het advies om het standaardwachtwoord te wijzigen, de meeste recente firmware te installeren en ervoor te zorgen dat de beheerdersinterface niet via HTTP of SSH toegankelijk is. Iets wat via deze tool kan worden gecontroleerd.

Reacties (3)
12-05-2015, 18:12 door grizzler - Bijgewerkt: 12-05-2015, 18:17
Die gelinkte tool heeft geen enkele waarde. Het enige wat je daarmee ontdekt is of een poort open staat, niet of de beheerdersinterface toegankelijk is.
12-05-2015, 19:12 door Anoniem
Door grizzler: Die gelinkte tool heeft geen enkele waarde. Het enige wat je daarmee ontdekt is of een poort open staat, niet of de beheerdersinterface toegankelijk is.

Klopt, dit is een nutteloze test. Als je weet dat je een web-server op poort 80 hebt draaien weet je ook dat je router-webinterface niet via poort 80 bereikbaar is.
13-05-2015, 11:04 door Anoniem
Door Anoniem:
Door grizzler: Die gelinkte tool heeft geen enkele waarde. Het enige wat je daarmee ontdekt is of een poort open staat, niet of de beheerdersinterface toegankelijk is.

Klopt, dit is een nutteloze test. Als je weet dat je een web-server op poort 80 hebt draaien weet je ook dat je router-webinterface niet via poort 80 bereikbaar is.

Dat is niet helemaal waar, want als je DMZ/NAT aan hebt kan het zo zijn dat de gateway op poort 80 gewoon een webserver kan draaien (web interface van het modem/router). Dit wil niet zeggen dat er niks op het netwerk van een webserver aanwezig is. Want het kan zijn dat het modem/router de port 80 doorverwijst naar een interne server op het netwerk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search