2min

Tags in dit artikel

Een groot aantal gecrackte Linux-servers maakt het internet onveilig, zo blijkt uit onderzoek naar een grote aanval op internetgebruikers en websites.

De aanvallen werden namelijk door onderzoeker Denis Sinegubko herleid naar Linux-servers. In alle gevallen ging het om servers waarop legitieme websites draaiden. De websites waren actief op poort 80, terwijl de kwaadaardige inhoud draaide op poort 8080.

"Het lijkt erop dat al die servers zijn gecrackt en dat de beheerders niet door hebben dat crackers een webserver op poort 8080 hebben draaien", aldus Sinegubko. Zijn advies is dan ook om te controleren of er geen ongeautoriseerde webserver op de poort draait.

Overigens hebben de aanvallers een voorkeur voor de lichtgewicht webserversoftware nginx, wat erop wijst dat de aanvallers shelltoegang met rootrechten hebben verkregen.

"Wat we hier hebben is het langverwachte zombiebotnet van webservers. Een groep van geïnfecteerde webservers met een gemeenschappelijk controlecentrum betrokken bij het verspreiden van malware", zo vertelt de onderzoeker.

Hij laat verder weten dat het botnet verbonden is met een ander botnet van thuiscomputers. Dankzij deze verbinding kan het webserverbotnet dezelfde dingen doen als een normaal botnet, maar dan effectiever. Echter, dit betekent ook dat zodra het IP-adres bekend is, het botnet vroeg of laat afgesloten wordt.

Sinegubko stelt dat als de aanvallers langer dan een week een aanval willen uitvoeren, ze al over duizenden gecrackte servers moeten beschikken. "Of ze beschikken over een te misbruiken Linux-lek." Alle gecrackte servers draaien namelijk Linux. "Dit is geen proof-of-conceptaanval die stopt met bestaan. Dit is een echt probleem dat systeembeheerders zo snel mogelijk moeten aanpakken."

Naast de mogelijkheid dat de aanvallers ongepatchte servers over hebben genomen, sluit de onderzoeker niet uit dat ze mogelijk over het rootwachtwoord beschikken. De aanval in kwestie steelt namelijk FTP-wachtwoorden om zo verborgen iframes toe te voegen aan legitieme websites. Het is dus mogelijk dat gebruikers slechts één wachtwoord voor zowel de root- als FTP-account hebben of dat het FTP-wachtwoorden opgeslagen is.