Sicherheitsexperten warnen aktuell vor einer Malware, die auf Linux-Servern gefunden wurde. Durch die Schadsoftware werden DDoS-Angriffe vorgenommen.
Insbesondere durch auftretende Schwachstellen in Tomcat und Apache werden die Angriffe gestartet.
Schwachstellen in Apache und Tomcat ausgenutzt
Die Malware nennt sich IptabLes beziehungsweise IptabLex. Die infizierten Server werden dabei zu einem Botnet zusammengeschaltet. Im Gegensatz zu Windows lässt sich die Malware jedoch nicht so einfach installieren. Hierzu werden nämlich Root-Rechte benötigt. Die Datei wird dabei in den /boot beziehungsweise /usr-Bereichen abgelegt. Wird die Schadsoftware einmal gestartet, versucht diese mit zwei C&C-Servern eine Verbindung aufzunehmen. Von den Servern werden dann weitere Befehle ausgegeben.
Bash-Befehle entfernen Malware
Die IP-Adresse im Code der Malware weist auf eine Herkunft aus China hin. Infizierte Server befinden sich derzeit allerdings hauptsächlich im asiatischen Bereich. Allerdings sind zwischenzeitlich auch erste Server in den USA von dem Angriff betroffen. Die Cyber-Kriminellen nutzten die aufgetretenen Sicherheitslücken in Tomcat, Apache oder Struts für ihre Angriffe. Mithilfe der Bash-Befehlskombination sudo find / -type f -name ‚.*ptabLe*‘ -exec rm -f {} ‚;‘ und ps -axu | awk ‚/\.IptabLe/ {print $2}‘ | sudo xargs kill -9 lässt sich die Schadsoftware entfernen und beenden. Zudem sollten etwaige Schwachstellen in den Servern überprüft werden. Zwischenzeitlich wird die Schadsoftware aber von nahezu sämtlichen Virenschutzprogrammen erkannt.