Unterschätzte Gefahr: Bots auch unter Linux

Nicht nur Windows-Rechner werden fremdgesteuert für kriminelle Zwecke missbraucht.

Eine der bestimmenden Malware-Tendenzen des Jahres 2005 war der Aufbau von Botnets, also Netzwerken von einigen Zehntausend Rechnern, die über Trojanische Pferde (Bots) fremdgesteuert werden. Weit verbreitet ist die Meinung, dass dies - wie Viren und Würmer - ein reines Windows-Problem sei. Jedoch werden Bots auch für Linux geschrieben und in der Praxis eingesetzt. Daran erinnert Johannes Ullrich vom Internet Storm Center kurz vor Ende des Jahres.

Den Anlass für diese Warnung liefern vermehrte Angriffe auf Sicherheitslücken in PHP und PHP-basierten Anwendungen im Web. Die Schwachstellen werden genutzt, um schädlichen Code einzuschleusen, darunter auch Bots. Solchermaßen gekaperte Webserver dienen zum Beispiel als Heimstatt für Phishing-Sites, nachgeahmte Webseiten von Banken. Auch die anderen Komponenten eines Phishing-Rings, wie IRC-Server (Internet Relay Chat), Mail-Verteiler oder Zwischenspeicher für ausspionierte Daten sind auf gekaperten Linux- und Unix-Systemen ebenso zu Hause wie auf Windows-PCs.

Bots für Linux zu schreiben, ist zudem relativ einfach, da Linux- und Unix-Systeme meist alles an Bord haben, was für einen Bot benötigt wird. Server-Software für Web, Mail oder FTP ist installiert, ebenso Script-Sprachen wie Perl, Phython oder PHP sowie Compiler für höhere Programmiersprachen. Die Bots können also einfach gehalten, als Quelltext eingeschleust und auf dem Zielsystem kompiliert werden, oder sie werden in einer der verfügbaren Script-Sprachen geschrieben.

Der zurzeit über die verschiedenen PHP-Schwachstellen eingeschleuste Linux-Bot "Kaiten" ist nach Angaben von Johannes Ullrich älter als die meisten Windows-Bots. Wie diese nimmt er Kontakt zu einem IRC-Server auf und empfängt auf diesem Weg Anweisungen von seinem Herrn und Meister.

Soweit möglich, sollten Sie auf einer Linux-Maschine alle Script-Sprachen und Compiler entfernen, die Sie nicht unbedingt benötigen. Vor allem jedoch sollten Sie zeitnah Sicherheits-Updates für PHP und darauf basierende Anwendungen installieren. (PC-Welt/mec)