Managed hosting door True

Meer DDoS-aanvallen met Linux-machines

 

Linux-systemen worden steeds vaker gebruikt voor DDoS-aanvallen. En dat is opvallend omdat Linux-machines vaak als veiliger worden gezien en bovendien in mindere hoeveelheden worden gebruikt binnen bedrijven dan bijvoorbeeld Windows-machines. Dat meldt netwerkdienstverlener Akamai op basis van eigen onderzoek.

Volgens Stuart Scholly, senior vice president bij Akamai, werden eerder voornamelijk Windows-machines aangevallen voor het bouwen van botnets. ‘Op dit moment worden botnets steeds meer opgebouwd uit Linux-systemen om DDoS-aanvallen uit te voeren.’

Het hacken van Linux-toestellen wordt gedaan met XOR DDoS, meldt Akamai op zijn website. Dit is een Trojan malware die het Linux-systeem infecteert, zodat een cybercrimineel vanaf afstand een DDoS-aanval kan lanceren. Voornamelijk de gaming-sector en onderwijsinstellingen worden geraakt door deze XOR DDoS-botnets. Er vinden tot twintig van dergelijke aanvallen per dag plaats, die meer dan 150 gigabit per seconde (Gbps) halen.

De aanvallers krijgen de controle over een Linux-systeem in twee stappen. Ze voeren eerst een ‘brute force’-aanval uit om het wachtwoord voor de Secure shell-services te bemachtigen. Vervolgens gebruiken ze de zo verkregen ‘root privileges’, die toegang bieden tot systeembestanden en -programma’s, om een ‘Bash shell’-script te draaien en zo de controle over het toestel te krijgen.

Linux niet meer veilig

Hans Nipshagen, regionaal verkoopmanager bij Akamai, legt uit dat deze ontwikkeling opvallend is, omdat Linux altijd werd gezien als veiliger dan Windows. Aanvallers gebruiken namelijk vooral systemen met veel kwetsbaarheden en met de meeste gebruikers voor een DDoS-aanval, legt hij uit. ‘Ondertussen gebruiken aanvallers geavanceerde technieken en grote aanvallen, waardoor eigenlijk elk apparaat dat op het internet is aangesloten, kwetsbaar is. Dus ook Linux-toestellen.’

Nipshagen noemt als voorbeeld van de mogelijkheden van aanvallers dat een gemiddelde website een bandbreedte heeft van 1 Gbps. ‘De gemiddelde aanvalsgrootte is echter al 13 Gbps. Dit betekent dat zo’n aanval gemakkelijk de internetlijn doet vollopen en dan werkt de website niet meer.’ Veel organisaties denken volgens hem nog steeds dat een firewall hier wel voldoende bescherming tegen biedt, ‘maar dat werkt niet tegen zo’n aanvalsgrootte’.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5614560). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Linux is nog steeds veiliger dan Windows, want de wijze van aanval is door een bruteforce aanval op SSH. Dit heeft dus niks met de veiligheid van Linux te maken, maar met de sterkte van het root wachtwoord en dus de competentie van de beheerder.

Voor een gedecompileerde versie van XOR.DDOS, zie http://www.leisink.net/xor.ddos.asm

@Hugo, dat zie je volgens mij verkeerd. De in het artikel gevoerde redenatie rondom platformveiligheid werd ook in het gros van de gevallen bij Windows als onveiligheid aangemerkt. Vervelend daarbij was, dat Microsoft dat soort redenaties nooit bestreed, maar altijd met de standaardreactie kwamen in de trant van: "Microsoft recognizes this to be a potential security risk etc" en dat er gewerkt ging worden aan een oplossing.

Helaas, zoals gewoonlijk weer een artikel dat de plank mis slaat. Hier een juistere weergave van de werkelijkheid.

http://news.softpedia.com/news/xor-ddos-malware-for-linux-attacks-have-been-greatly-exaggerated-493287.shtml

@Hugo: Of juist het gebrek van de competenties bij de beheerders.

Laatst kwam ik er bij een Linux installatie achter dat de root gebruiker wel gewoon standaard mag inloggen met SSH. Ik vond dat exteem raar en heb gelijk de /etc/login.defs aangepast.

Maar ik vroeg me wel af waarom dat zo scheef stond.

De aanval is niet alleen op SSH, maar tevens alleen op root.
Als je geen root wachtwoord hebt, zoals dat bij Ubuntu het geval is, hoef je je daarvoor minder zorgen te maken.
Verder moet je dan nog Root login geactiveerd hebben in SSH.
En een eenvoudig (maximaal 8 letters) paswoord.

Desalniettemin heb ik nog wat extra beveiliging in mijn websites ingebouwd om te zorgen dat XOR.DDos vergelijkbare aanvallen op niets uitlopen.

(Ik heb alleen nog mogelijke problemen met Xcross-scripting)

Ik wil hier graag een analogie gebruiken. Een Bunker en Linux. Een bunker wordt als heel veilig en ondoordringbaar beschoud. Echter, alles staat of valt met een goed beheer van een bunker. Bijvoorbeeld als de sleutel op straat ligt of mensen werken niet volgens het protocol, dan is een bunker ook lek als een mandje.

Als we Linux als een bunker vergelijken, dan is het zaak om het linux systeem adequaat en professioneel te beheren, maar ook pro-actief te patchen. Verzuim je hierin, dan geef je de hackers munitie om je linux systeem te misbruiken. Het is een rat race die je loopt.

Wat mij betreft is Linux zeer veilig, getuige het feit dat Linux tegenwoordig mission critical workload niet alleen primair op x86 platform draait maar ook op IBM Mainframes. Wat mij betreft is goed huisvaderschap de sleutel om linux veilig te hebben en te houden.

If you also read the article this is probably based on (PCWorld) then while it says Linux - the thing that caught my eye is that it is also about embedded systems based on Linux.

While it is important to read what is there - around security topics it is almost more important to read between the lines to discover the threats that have not been mentioned.

In a normal, even, or perhaps especially, there are many devices in our "Internet of Things" that have one or more core services based on Linux - in one form or another. Especially these devices that are largely unmonitored and rarely updated are (potential) targets of brute-force attacks of any login mechanism.

In any case, there is no point is saying X is more secure than Y. That is a point in time for discussions such as this. More interesting is what we can do to motivate people to have sensible passwords and update procedures - and not to forget - just going through the infrastructure looking for "weak" components - especially those in a critical zone (e.g., the home router connecting WLAN to Home Network).

And that Linux is targeted - especially Intel based Linux (from the assembly code I saw behind one link) - comes because of it's success in the market. Easier pickings.

Think Vigilance!

Zoals zoveel staat of valt alles met goed onderhoud en goed systeembeheer.

Ten eerste: alleen die systemen die SSH open hebben staan voor remote root login hebben hier last van. Als je niet met root kan inloggen is deze route al snel afgesneden.
Ten tweede: een sterk genoeg root wachtwoord. Hier is een stuk minder zekerheid te verkrijgen. Een langer wachtwoord vertraagt op z'n hoogst het moment waarop de hacker toegang krijgt. Een betere methode blijft om SSH niet open te zetten voor root inlog.
Ten derde: Een goede virusscanner. Ja ook die zijn nodig voor Linux.

Is Linux veiliger dan Windows? Mijn onderbuikgevoel zegt: bij goed systeembeheer zeker.

Linux heeft een interne firewall die iptables heet. Als die firewall goed wordt geconfigureerd dan is het systeem niet meer kwetsbaar voor aanvallen van buitenaf.

@Technicus,
Het ligt veelal aan de distro.
Bij Debian en SuSe kun je bijvoorbeeld ook standaard als root inloggen,
Bij Ubuntu weer niet.
Idd een kwestie hoeveel tijd je aan beheer wil besteden.

Het artikel slaat verder idd de plank behoorlijk mis, en haalt zaken door elkaar.
Er wordt immers gesteld dat er DDOS attacks worden gedaan m.b.v. Linux-computers en dat Linux daardoor niet meer veilig is. Ehhhh uhmmm??? Say what?

Rare conclusie om te stellen dat Linux niet (meer) veilig is. Wanneer je een geen of een eenvoudig wachtwoord gebruikt, weet je dat ongenode gasten binnenkomen. Ongeacht of het nu Linux, Windows of OS X is.

Dit type misbruik heeft niets met het smaakje OS te maken.

ssh
authenticatie
bruteforce
ddos
defaultsettings
firewall
sudo
beheer
patchen
onderbuikgevoel
firewall

daar kun je me toch een hoop onzin over vertellen..

Als je op een Linux server inlogt, hoe weet je dan zeker dat het de juiste Linux server is, met MITM kun je IP adres niet vertrouwen.

Inloggen op Linux servers doe je in de regel niet met een username, wachtwoord, maar met een SSH sleutel.

Niets is altijd veilig, het maakt ook erg uit wat je met een server doet. Beide zijn veilig te maken.

Het punt lijkt mij hier (en ook bij soortgelijke meldingen over Windows) dat onderzoekers helemaal geen onderscheid maken tussen (technische) onveiligheid van het platform en onveiligheid door ondeskundigheid van de beheerders. Men constateert dat Linux-systemen relatief meer voor dDos-aanvallen gebruikt worden dan eerder en stelt op basis daarvan dat Linux minder veilig is geworden ten opzichte van andere platformen. Die 'zie je nou wel'- en 'wat is dit nou voor gelul?'-reacties bij respectievelijk Windows en Linux zijn volgens mij niet relevant als verdisconteerd is dat Linux-beheerders vaker onvoldoende deskundig zijn dan daarvoor. Zo kwamen wij op Windows in het verleden wel beheerders tegen die alle netwerkprotocollen (inclusief die ten behoeve van sniffing/monitoring aanzetten op werkplekken en servers). Want dan deden ze het tenminste, wisten ze uit ervaring. Dat weegt allemaal mee als de onveiligheid van Windows gemeten wordt.

Citaat uit het originele stuk van akamai:
"Attackers use the Linux vulnerabilities on unmaintained servers to gain access"

Het probleem is dus niet "Linux" maar systemen die niet onderhouden zijn.
De titel kan ik alleen maar als click-bait zien.
Ieder systeem dat slecht onderhouden wordt, kan gehacked worden dat is nou niet bepaald nieuw.

@Jan Dat is een mooie zin over de unmaintained servers met de vulnerabilities. Moet meteen denken aan de cloud. Die cloud biedt veel moois maar ook de mogelijkheid om maar machines of containers naar lieve lust aan te maken. Dat is een nadeel. Wat dat betreft is het beheer en die beheersbaarheid er niet eenvoudiger op geworden. En de mogelijkheden tot dit soort narigheid.

@Jan
Je verdedigt Linux maar gaat even voorbij aan de vraag waarom deze servers vaak slecht onderhouden zijn. Veelal komt Linux mee als OS onder de 'one-click' appliances die door de business is aangeschaft binnen een 'Windows-engaged environment' waardoor dit de 'Shadow IT' wordt van buiten de afdeling IT om gecontracteerde oplossingen.

Enig idee hebben hoeveel van deze slecht onderhouden Linux installaties er zijn binnen de proces automation?

Patch management is daar nog niet eens op papier geregeld en als je me even IP nummer van je smart thermostaat geeft dan zet ik deze alvast wat lager..... Lang leve IoT;-)

Ewout haalt een heel heikel punt aan.
Server beheer vereist kennis van zaken en de wens dit onderhoud goed te doen.
Allerlij handige klikklakklaar tools kunnen daarbij helpen maar zijn evenvaak de oorzaak van het probleem.
Ik ken maar weinig produktie omgevingen die werkelijk up to date gehouden worden, want als je aangeeft dat onderhoud onheroepelijk maintenancetijd (downtime) inhoud, dan hoeft het al niet meer.
Voordeel van de cloud is natuurlijk wel dat je die vervelende klus aan een betrouwbare partij (zo hoop je dan) kunt overdragen.

Iot ook zo'n mooi verhaal... heb dat soort spullen niet.

@Pascal Het hangt er vanaf wat je uit de cloud afneemt, zijn het gewoon machines en infrastructuur dan is het nog aan jou om het beheer te doen. Je schrijft ook dat er maar weinig productie omgevingen zijn die up to date gehouden worden. Dat geloof ik ook zo, dat is ook mijn ervaringen in omgevingen waar ik gewerkt heb. Eerder chaos dan orde. Misschien moeten we wel concluderen dat de computer te ingewikkeld voor ons is. Een apparaat met mogelijkheden die niet overzien zijn laat staan hoe ze toe te passen. Uiteindelijk doen we maar wat.

Van de week moest ik even mijn kennis van Google Compute Engine oppoetsen. Belangrijk, want zo'n cloud provider voegt sneller nieuwe toe dan Shadow IT aan kan ;-)

En inderdaad. Je klikt een image naar keuze aan (Moodle, Postgres, WordPress, whatever) en vijf minuten later heb je een Linux server met alvast wat voor geconfigureerd.

Grappig is dat je geen Putty of iets dergelijks meer nodig hebt maar gewoon "native" via je browser met SSH naar binnen kan. Zonder username en wachtwoord, dus standaard veilig.

Dus ook veiliger zijn gaat steeds gemakkelijker (Je kunt zelfs niet standaard via de buitenkant op de Linux server komen).

Dit zijn dus redenen om voor cloud computing te kiezen. Het is veiliger. Oja, leuke take away. Een 600 MB ram, 10GB SSD Linux server kost je 5 dollar per maand....

Ik zie dat Centos 6 nog standaard op rootlogin staat en dat zal dan ook zijn met Redhat.
Fedora 22 is ok en natuurlijk de Ubuntu gerelateerde distro's.

Ik hoop dat Birgit meer verstand heeft van Sociale Psychologie want dit artikel is tegen het zere been van aan aantal beheerders en het klopt ook nog niet! ;-)

Wel leuk van haar hier even op te wijzen om een aantal beheerders wakker te schudden die "secret" als root password hebben staan op hun root enabelde ssh login.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×