Linux-systemen worden steeds vaker gebruikt voor DDoS-aanvallen. En dat is opvallend omdat Linux-machines vaak als veiliger worden gezien en bovendien in mindere hoeveelheden worden gebruikt binnen bedrijven dan bijvoorbeeld Windows-machines. Dat meldt netwerkdienstverlener Akamai op basis van eigen onderzoek.
Volgens Stuart Scholly, senior vice president bij Akamai, werden eerder voornamelijk Windows-machines aangevallen voor het bouwen van botnets. ‘Op dit moment worden botnets steeds meer opgebouwd uit Linux-systemen om DDoS-aanvallen uit te voeren.’
Het hacken van Linux-toestellen wordt gedaan met XOR DDoS, meldt Akamai op zijn website. Dit is een Trojan malware die het Linux-systeem infecteert, zodat een cybercrimineel vanaf afstand een DDoS-aanval kan lanceren. Voornamelijk de gaming-sector en onderwijsinstellingen worden geraakt door deze XOR DDoS-botnets. Er vinden tot twintig van dergelijke aanvallen per dag plaats, die meer dan 150 gigabit per seconde (Gbps) halen.
De aanvallers krijgen de controle over een Linux-systeem in twee stappen. Ze voeren eerst een ‘brute force’-aanval uit om het wachtwoord voor de Secure shell-services te bemachtigen. Vervolgens gebruiken ze de zo verkregen ‘root privileges’, die toegang bieden tot systeembestanden en -programma’s, om een ‘Bash shell’-script te draaien en zo de controle over het toestel te krijgen.
Linux niet meer veilig
Hans Nipshagen, regionaal verkoopmanager bij Akamai, legt uit dat deze ontwikkeling opvallend is, omdat Linux altijd werd gezien als veiliger dan Windows. Aanvallers gebruiken namelijk vooral systemen met veel kwetsbaarheden en met de meeste gebruikers voor een DDoS-aanval, legt hij uit. ‘Ondertussen gebruiken aanvallers geavanceerde technieken en grote aanvallen, waardoor eigenlijk elk apparaat dat op het internet is aangesloten, kwetsbaar is. Dus ook Linux-toestellen.’
Nipshagen noemt als voorbeeld van de mogelijkheden van aanvallers dat een gemiddelde website een bandbreedte heeft van 1 Gbps. ‘De gemiddelde aanvalsgrootte is echter al 13 Gbps. Dit betekent dat zo’n aanval gemakkelijk de internetlijn doet vollopen en dan werkt de website niet meer.’ Veel organisaties denken volgens hem nog steeds dat een firewall hier wel voldoende bescherming tegen biedt, ‘maar dat werkt niet tegen zo’n aanvalsgrootte’.
Ik zie dat Centos 6 nog standaard op rootlogin staat en dat zal dan ook zijn met Redhat.
Fedora 22 is ok en natuurlijk de Ubuntu gerelateerde distro’s.
Ik hoop dat Birgit meer verstand heeft van Sociale Psychologie want dit artikel is tegen het zere been van aan aantal beheerders en het klopt ook nog niet! 😉
Wel leuk van haar hier even op te wijzen om een aantal beheerders wakker te schudden die “secret” als root password hebben staan op hun root enabelde ssh login.