Linux-Botnet entdeckt

Botnets sind vor allem ein Phänomen der Windows-Welt. Tausende gekaperte Rechner, meist normale PC von Endanwendern, werden fremdgesteuert und versenden zum Beispiel massenhaft Spam-Mails. Jetzt ist ein Netzwerk kompromittierter Linux-Rechner entdeckt worden, die als Web-Server dienen. Es sind nur vergleichsweise wenige, sie sind jedoch für Online-Kriminelle wertvoll , da sie unter einer festen IP-Adresse rund um die Uhr online sind.

Die gekaperten Maschinen sind reguläre Web-Server, auf denen die Apache-Software auf dem üblichen Port 80 legitime Web-Seiten ausliefert. Nach dem Eindringen in diese Rechner haben die Täter einen zweiten Web-Server auf dem Port 8080 eingerichtet, der mit der schlankeren Software nginx läuft. Die Adressen, unter denen diese heimlichen Server erreichbar sind, stammen aus den Domains kostenloser Dienste wie DynDNS oder No-IP. Bei denen kann jeder seinen Rechner, auch und gerade mit dynamisch zugewiesener IP-Adresse, unter einem festen Namen wie “meinserver.dyndns.org” erreichbar machen.

Die Rechner dieses “Botweb” leiten Aufrufe zwecks Lastverteilung untereinander weiter und liefern Malware sowie Exploit-Code aus. Über Iframes auf gehackten Websites werden die Verknüpfungen zu diesem Code beim Laden legitimer Websites aufgerufen. Die Betreiber der Gratis-IP-Dienste haben schon etliche Anmeldungen solcher Zombie-Rechner gelöscht, es werden jedoch immer wieder neue angemeldet.

Betreiber eines oder mehrerer Web-Server sollten ihre System überprüfen, ob diese auf einem weiteren Port (etwa 8080) einen zweiten Web-Server beherbergen. Wie die Täter in die Rechner eindringen, ist bislang nicht abschließend geklärt. Sie könnten die Passwörter für den Admin-Zugriff ausspioniert haben. Bislang sind kompromittierte Linux- oder Unix-Maschinen vor allem als Steuerzentrale für Windows-basierte Botnets bekannt.