Botnet auf Linux-Servern entdeckt

Auf jedem der kompromittierten Server läuft der leichtgewichtige Webserver nginx, der via Port 8080 Schadcode vertreibt. Port 80 wird laut Blog-Eintrag häufig mit Apache betrieben, der saubere Inhalte auf Port 80 ausliefert. Somit schlussfolgert Sinegubko, dass die Einbrecher root-Zugriff erlangte haben. Andernfalls wäre es nicht möglich gewesen, nginx zu installieren. Wie der Einbruch aber genau funktionierte, sei derzeit nicht bekannt.

Die neue Methode flog auf, als Malware-Links plötzlich Adressen von DynDNS.com und No-Ip-com verwendeten. Die Provider wollen bereits mehr als 100 Adressen gelöscht haben. Allerdings reagieren die Botnet-Betreiber anscheinend schnell und registrieren Systeme unter anderen Adressen. Derzeit seien seiner Meinung nach 77 verschiedene im Einsatz. Sinegubko hat seine Liste mit bösen IP-Adressen and stopbadware.org weitergeleitet. Diese wollen sich bei den Providern melden. (jdo)