著名CDN服务商昨天Akamai发出警告,黑客利用入侵的Linux服务器感染IptabLes及IptabLex病毒,使之成为僵尸网络并对娱乐业企业发动DDoS攻击。
Akamai安全负责人称:
「在Linux系统内受IptabLes及IptabLex感染的恶意软件中,我们追查到2014年其中一宗最大型的DDoS攻击行动。这可以说是网络安全发展的一大变化,因为过去Linux系统往往不会用于DDoS僵尸网络中。恶意攻击者可从没有修补的Linux软件中的已知漏洞发动DDoS攻击。Linux管理员需要了解这些威胁,并作出相应举动,才能保护他们的服务器。」
僵尸网络是如何形成的
透过Apache Struts、Tomcat及Elasticsearch的漏洞,IptabLes及IptabLex得以大规模地在Linux服务器广泛散播。攻击者利用Linux未被修复的服务器漏洞取得存取、升级权限,并遥距操控机器,再在系统中加入及运行恶意编码。最后,使系统能够成为DDoS僵尸网络中的一部份,被遥距操控。
其中一个确认感染的指标是/boot目录内名为.IptabLes或.IptabLex的负载,这些程式在重新启动时会运行二元档案.IptabLes。该恶意软件还包含自我更新功能,受感染的系统会联络远端主机下载档案。在实验中,受感染的系统曾尝试联络两个位于亚洲的IP位址。
现在,IptabLes及IptabLex的指令及控制中心位处亚洲。受感染的系统最初是由亚洲开始,但愈来愈多近期的感染是来自美国及其他地区的服务器。于过去,大部分DDoS僵尸病毒感染源自俄罗斯,可现在亚洲成了DDoS发展一个重要的源头。
一些信息
1、Akamai安全工程师及研究小组发现了DDoS攻击是由IptabLes IptabLex僵尸网络驱动的
2、这些僵尸机器人使用了明显的攻击负载,如DNS攻击和SYN Flood攻击
3、攻击流量达到119Gbps带宽,110 Mpps
4、恶意程序中两个硬编码的回传IP地址来自中国
5、恶意程序只运行于Linux系统,所有的二进制程序和漏洞利用程序没有外界依赖