Linux

Descoberta botnet Linux que faz ataques DDoS devastadores

59 Comentários

As botnet são actualmente uma das maiores ameaças que existem na Internet. Controladas remotamente, estes grupos de máquinas conseguem graus de destruição elevados.

Uma nova botnet descoberta recentemente tem uma dimensão muito grande e consegue realizar ataques que contornam as protecções e os sistemas de qualquer grande empresa ou entidade.

botnet_linux_1

A dimensão que a botnet agora descoberta tem é de tal forma elevada que consegue realizar ataques que ultrapassam os 150Gbps, algo que poucas entidades conseguem suportar.

Usando o malware XOR DDoS, que foi descoberto em Setembro deste ano, esta botnet tem vindo a crescer e a tomar dimensões que ultrapassam qualquer outra que seja conhecida.

Os atacantes instalam o XOR DDoS em sistemas Linux, incluindo outros sistemas onde este sistema está presente, como routers Wifi ou outros dispositivos de rede, através de simples tentativas de autenticação SSH, com de ataques de força bruta.

Uma vez descobertas as credenciais de acesso a estes equipamentos, são instalados os elementos que vão permitir mais tarde controlar as máquinas e realizar os ataques.

Para se esconder nestes sistemas este malware usa várias técnicas, entre elas várias conhecidas dos mais comuns rootkits, e que lhe garantem que passe despercebido.

Esta botnet foi descoberta por uma equipa da Akamai Technologies, que registou vários ataques recentes, que vão de poucos gigabits por segundo até aos muito mais elevados e incapacitantes 150 .

botnet_linux_2

A actividade da botnet XOR DDoS tem sido elevada, realizando cerca de 20 ataques por dia, a maioria deles dirigidos à Ásia, contra empresas do ramo dos jogos online e instituições de ensino.

O XOR DDoS é apenas um dos vários malwares que têm estado a ser utilizados para infectar máquinas e dispositivos acessíveis na Internet.

Esta é uma prática cada vez mais comum, tudo graças às fracas medidas de segurança que estes equipamentos têm e que os tornam alvos fáceis.

Outro dos problemas que afectam estes equipamentos é a ausência de manutenção e de actualizações de segurança.

As ideias que haviam sobre os elevados padrões de segurança do Linux e a sua invulnerabilidade a ataques têm estado a ser cada vez menos reis, com estes sistemas a mostrarem que também eles podem ser vítimas de falhas de segurança.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
botnet DDoS Linux XOR DDoS

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
O Twitter prepara-se para deixar cair o limite de 140 caracteres
Artigo anterior

O Twitter prepara-se para deixar cair o limite de 140 caracteres
ALERTA: Se tem o WINRAR instalado então pode ser atacado
Próximo artigo

ALERTA: Se tem o WINRAR instalado então pode ser atacado
PUB

Comentários

59

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Emanuel Vitorino
    Emanuel Vitorino

    Nenhum sistema é perfeito, digam o que disserem. Mas neste caso aqui, os atacantes só conseguem pôr o malware se descobrirem as credenciais de acesso, por isso não é uma falha de segurança do próprio Linux.

    Responder
    1. Avatar de Cris
      Cris

      Parcialmente correcto. Torna-se difícil bloquear ataques ao ssh quando é o proprio router a fazê-los.
      Como é que o router os faz? A maior parte dos routers tem kernels extremamente antigos com falhas se segurança, que são exploradas pelos atacantes para ganhar acesso root.

      Responder
  2. Avatar de HM
    HM

    Quem pensava que o Linux e o OSX eram imunes aos ataques, cada vez mais constatam que estão errados.

    O Windows sempre foi o mais atacado pois sempre foi o sistema operativo com maior cota de mercado.

    Agora, que o OSX e o Linux começam a “ganhar” mais utilizadores, passaram a ser apetecíveis para os hackers…

    Responder
    1. Avatar de cc
      cc

      Assim que a microsoft introduzir o openssh ou o libressh no powershell do windows 10 então ai ficam com ainda mais máquinas para infectar com este mesmo ataque, visto que o problema não é do sistema em si mas de uma de mtas ferramentas que os compoem.

      Responder
      1. Avatar de Rodrigo Nunes
        Rodrigo Nunes

        e nem é um problema da ferramenta e sim um problema de usuário que não sabe usar a ferramenta.

        Responder
        1. Avatar de oi
          oi

          usuário, lol

          Responder
    2. Avatar de int3
      int3

      Nem por isso. Esquece lá isso da popularidade. O alvo mais comum é até servidores. NASA, Bancos, Governos e grandes empresas (Google, Amazon, Facebook, Sonae, …). Estes servidores que suporta a infraestrutura é quase toda sistemas UNIX e adivinha. Não há falhas?

      E a botnet instalada nas máquinas foram por bruteforce. Falta de configuração: não bane o IP que tenta descobrir as credenciais. E digo que para descobrir estas credencias pela net em brute force é porque tem passwords muito fáceis.
      Falo por experiência própria e consegui mais de 100 máquinas em Linux a correr um bonet (feito por mim em C) e conseguia picos de 400-500 Mbps em UDP.

      Isto tudo para dizer que esta rede de máquinas infetadas foram simplesmente por falta de segurança pela parte de quem instalou/gere. Palavras chave tipo:admin ou 1234 é simplesmente burrice.
      Nenhum sistema, seja windows ou unix, consegue proteger-se da nabice dos utilizadores ou administradores de sistemas.

      E nao sou obcecado por Linux. Uso Mac e Windows neste momento devido ao trabalho. Linux é só quando preciso de fazer troubleshooting à rede e prefiro usar as ferramentas e ambiente unix.

      Responder
      1. Avatar de Ricardo
        Ricardo

        “Falta de configuração: não bane o IP que tenta descobrir as credenciais” proxy list amigo, proxy list.

        Responder
  3. Avatar de Luis Costa
    Luis Costa

    Porque nunca limitaram o numero de autenticações por minuto no SSH. Se forem 30 por minuto o brute force perdia o sentido

    Responder
    1. Avatar de cc
      cc

      Faz todo o sentido ter um counter nas aplicações de ligação remota, mas agr é algo que tem-se de perguntar ao pessoal do openssh ou do libressh pq é que n o fizeram antes.

      Responder
      1. Avatar de Nuno
        Nuno

        o ssh, open ou não, e o libressh são a última frente de defesa contra um ataque. Normalmente existem outros mecanismos de defesa, idealmente em camadas, quando se expõem activos na internet. Não digo que não deveríamos ter mais controlos no último nível (e há demasiados que dependem do utilizador), mas digo que nestes casos não há definitivamente uma gestão de segurança activa…

        Responder
      2. Avatar de cc
        cc

        Pelo que vi tinha-se que introduzir um limite máximo de autenticações por conexão e configurar umas linhas no iptables para fazer o efeito de n_ligacoes_por_min. N encontrei nada no proprio ssh que fizesse o mesmo, mas assim desta forma tem-se mais controlo.

        Responder
        1. Avatar de Carlos Silva
          Carlos Silva

          A ideia é mitigar o problema *antes* de chegar ao serviço, daí ser no iptables. Limitar no proprio serviço, estás a introduzir o overhead desnecessário que te vai consumir recursos na mesma em caso de DDoS.

          Responder
    2. Avatar de Sergio
      Sergio

      E colocar acesso por chaves tb ajuda

      Responder
    3. Avatar de José
      José

      iptables Luis Costa ?

      podes dar um exemplo p.f.

      Responder
    4. Avatar de david.pt
      david.pt

      Boas amigo. Boa ideia vou fazer isso no meu

      Responder
    5. Avatar de Xnelox
      Xnelox

      Fail2ban …

      Responder
  4. Avatar de Mikes
    Mikes

    Onde andam os pinguins agora?! fugiram?!

    Responder
    1. Avatar de biluka
      biluka

      Limpando os pcs dos amigos,removendo Baidu’s

      Responder
      1. Avatar de Vondutch
        Vondutch

        lol nem mais

        Responder
    2. Avatar de Nuno Mendes
      Nuno Mendes

      Ai tens a resposta Mr. Mikes.

      Porque nunca limitaram o numero de autenticações por minuto no SSH. Se forem 30 por minuto o brute force perdia o sentido

      Responder
      1. Avatar de Carlos Silva
        Carlos Silva

        Posso-te dizer que em todas as minhas máquinas só tenho 5 por minuto configurado (e mesmo assim tenho 4 a mais).

        Responder
    3. Avatar de Carlos Fernandes
      Carlos Fernandes

      “incluindo outros sistemas onde este sistema está presente, como routers Wifi ou outros dispositivos de rede”….tens um router pinguin certo? stop flame SO.

      Responder
      1. Avatar de Mikes
        Mikes

        Tenho um router e uma NAS

        Responder
    4. Avatar de Tiago Santos
      Tiago Santos

      A partir do momento em que tens acesso a uma conta com privilégios de administrador tudo pode ser feito, não há volta a dar a isto LOLOLOL o que sugeres? Acho que a conclusão final do artigo esta um pouco feita para estas guerras de comentários, mas enfim . . .

      Responder
  5. Avatar de gajomau
    gajomau

    E o Rei das bootnet supostamente é o Windows e o Linux é invulnerável e muito superior.. Isto é bom para relembrar ao linuxtards que qualquer sistema operativo não resta imune a nada.. Seja ele qual for.. E que o Windows tem mais vírus por ser o mais usado, não por ser mau.. Quanto mais maquinas Linux houver, maior a vontade de descobrir exploits..

    Responder
    1. Avatar de Jovem
      Jovem

      Deve de haver mais máquinas com linux do que pensa. Basta pensar um pouco, qualquer router que compra provavelmente deve ter linux instalado.

      Responder
      1. Avatar de gajomau
        gajomau

        Não como utilizador final a usar, mas sim em servidores e routes em que o elemento humano é mais raro de interagir com a maquina e fazer asneira.. Sendo assim a maior parte dos exploits a serem procurados são as de ligações remotas ( la esta, o fator humano é escasso em maquinas Linux), ataques man in The middle, etc.

        Se o Linux fosse mais usado por utilizadores os tipos de ataque são diferentes ( vejamos o caso do Android, que apesar de não ser um puro Linux, grande parte dos ataques são exploits tanto à ignorância dos utilizadores, como as ferramentas e compiladores no caso do IOS, mas com finalidade de chegar ao elemento humano

        Responder
        1. Avatar de Vlad
          Vlad

          Mesmo o Linux sendo usado massivamente em routers, servers,… existem mais exploits para Windows do que para Linux.

          Responder
    2. Avatar de Rodrigo Nunes
      Rodrigo Nunes

      E por que será q a Microsoft trocou seus servidores para linux se eles tem o windows server? rsrsrsrsrs

      Responder
      1. Avatar de david.pt
        david.pt

        +1

        Responder
  6. Avatar de Carlos Santos
    Carlos Santos

    Basicamente o problema não está presente no “Linux” em si, mas sim no software de SSH que permite nessas máquina usar bruteforce para obter os dados de autenticação e posteriormente aceder à maquina e fazer a instalação do malware.
    Quanto ao @Mikes, epah eu sou linux-user, e posso dizer-te que tiveste um comentário infeliz, que mostra que és não um hater mas sim um daqueles gajos que gosta de porrada nos comments! Bem, que bom para ti! 😉

    Quanto ao comentário do @Luis Costa, poderá não ser assim tão facil visto que o software do tipo de aparelhos é muito raro ser atualizado e após ter saído da fabrica tarde ou nunca são corrigidos BUGs no software. Esse tipo de config é feita no SSH, e se não o fizeram é porque há interesse que este tipo de ataques se crie para que force também as pessoas a comprar novos hardwares para tentar resolver problemas de lentidão na conexão à Internet durante os Ataques que nem sabem que estão a ocorrer usando os seus aparelhos.

    Responder
    1. Avatar de Mikes
      Mikes

      Eu depende dos dias!! Hoje estou assim virado para a trollice.

      (agora sem trollice: actualmente não uso, mas usei muito tempo Linux e estou a pensar em breve preparar uma VM ou dualboot para ver como andam as coisas em algumas distros).

      Responder
      1. Avatar de Rudi
        Rudi

        ya acontece a todos 😉

        As distros estão boas, algumas confusões com o Kubuntu, Fedora está sempre com o ultimo grito e a maioria do nerds estão a passar para Arch porque é rolling.

        Mas as coisas ficam ainda melhores quando lançarem uma distro (se ainda não lançaram) com o Kernel 4.0, que dá para fazer load de um novo kernel sem reiniciar, tb tem melhor suporte para graficas e cpu’s.

        Responder
        1. Avatar de Mikes
          Mikes

          Usei durante muito tempo Fedora (acho que entre o Fedora 7 e 10) como alternativa constante ao windows.
          Estou a pensar em revisitar o Fedora e experimentar umas menos “mainstream”.

          Responder
        2. Avatar de Carlos Silva
          Carlos Silva

          fazer load dum novo kernel sem reiniciar já existe há tantos anos…. não precisas do 4.0 para isso 😉 (https://en.wikipedia.org/wiki/Kexec)

          Em relação ao 4.0 em si, no Arch já tem, e não sei se o Antergos ou o Manjaro não terão já também.

          Responder
          1. Avatar de rui
            rui

            Antergos já tem. Kernel 4.2.1, atualizei ontem.

  7. Avatar de Nuno
    Nuno

    Não concordo com estas guerras sem sentido. Todos os sistemas são vulneráveis, principalmente quando não são observados os princípios mínimos de segurança. O brute force pode e é usado contra todos os sistemas, e apanha sempre as credenciais mais fracas. Contra isto podemos implementar vários controlos, passivos e/ou activos, no contexto de uma política de segurança.
    Enfim, tema relacionado com gestão de segurança e nem por isso com linux ou windows… Agora, é um facto que grande parte dos activos de rede e de servidores que estão expostos na internet corresponde a sistemas linux, sendo por isso normal que seja este o tipo de sistemas visado neste ataque.

    Responder
  8. Avatar de Rudi
    Rudi

    Sempre que se encontra uma falha qualquer em linux o Windowsfanboy go like:
    Xiiii o linux não presta também tem virus e falhas e não percebo nada de linha de comandos e aquilo é burros, software fechado é tão bom e eu nunca comprei windows na vida porque só faço pirataria.

    Sempre que se encontra uma falha em windows um sysadmin Linux experiente go like:
    Já é o terceiro esta semana e nós pagamos um balúrdio por isto, toca a reiniciar…

    Windows fanboys estilo gajomau e outros vocẽs têm toda a razão linux não presta… nunca prestou… portanto o melhor é deixarem de usar a net, tudo o que usam está assente em open source e linux, não vá alguma coisa de mal acontecer ao vosso router de casa por não ter windows, até estar tudo com windows 2012 r2 (server, switches, routers, aviões, comboios, etc) não usem a net, não andem de transportes, não usem os bancos escondam o dinheiro debaixo do colchão, essa praga do open source e do linux tem de acabar concordo completamente.

    Mais uma coisa, sabem quem está a desenvolver para Linux e Debian?
    A Microsoft!!!!!

    Responder
    1. Avatar de CMatomic
      CMatomic

      Amigo estamos em Portugal , tudo que da lucro é bom , o que não dá, fala-se mal .

      Responder
  9. Avatar de Tecnical
    Tecnical

    De facto esse é um grande factor, mas não é o único. Estamos a falar de sistemas operativos fundamentalmente diferentes. Tão diferentes que até a ideologia é diferente. Além disso, o linux sempre teve vírus e falas de segurança…
    Mas se pensares um pouco, o linux é mais seguro sim. E também é um alvo muito apetecível… Não fosse a maioria dos servidores expostos (directamente) na Net em linux…

    Responder
    1. Avatar de CMatomic
      CMatomic

      Para instalares um vírus em Linux tens que dar permissão.

      Responder
  10. Avatar de pentestbox
    pentestbox

    O sistema linux é realmente mais seguro que os demais, e não é pelo fato de o mesmo ser menos usado, isso é mito, é pelo modo como o sistema foi desenvolvido, um dos detalhes principais é não utilizar a conta de root, e sim o sudo, já o SSH, continua a ser uma execelente ferramenta para se conectar remotamente ao sistema por um canal com criptografia, o fato de tentarem fazer bruteforce no SSH, e o mesmo que tentar fazer um bruteforce em Telnet, aplicações web, RDP, e qualquer outro software que esteja exposto na internet, qualquer um deles podem ser alvos de bruteforce, então não é assim um problema critico voltado ao SSH, cabe ao usuário utilizar de recursos para mitigar esse problema de bruteforce, como fail2ban, como bloqueio via tcp wrappers, iptables, etc…
    Agora esse negocio de que um sistema é mais utilizado que outro por isso existem mais virus, malwares, isso é mito, e não tem nada ver com o fato do bruteforce voltado ao SSH.

    Responder
  11. Avatar de Rui Moreira
    Rui Moreira

    O que nao faltam são soluções para bloquear ips que tentem fazer bruteforce attack, além disso e aconselhavel limitar o acesso ao ssh , bem como outras medidas de segurança . Nunca ninguém pode afirmar que o OS X ou Y e imune a ataques, isto e a mesma coisa que um servidor windows a correr Remote Desktop ser hackado por causa de uma password fraca , ou de bruteforce …

    Responder
  12. Avatar de Marco
    Marco

    é o que dá qd não se explica tudo a quem está entre a cadeira e o teclado.
    Qd se instala uma distro que já vem com servidor ssh, e não se retira das permissões de acesso ao ssh o root ou os utilizadores “sudos”. É normal que quem faz ataques comece a olhar para as boxes unix com ssh e totalmente “abertas”.

    Responder
    1. Avatar de david.pt
      david.pt

      O melhor é não instalar o ssh mesmo:)

      Responder
  13. Avatar de irlm
    irlm

    Hoje sai a noticia, amanhã estará corrigido, é isto que o povo gosta “open source”.

    Responder
    1. Avatar de Nuno
      Nuno

      Tal e qual, não tenha dúvidas quanto a isso.

      Responder
  14. Avatar de Zaark
    Zaark

    No final do artigo falam da ideia da invulnerabilidade. Sinceramente, e com o devido respeito, isso não passa de uma epifania. A maioria do pessoal que usa Linux sabe que nenhum sistema é invulnerável. Ser mais difícil de atacar não significa impenetrabilidade. As almas que acham o Linux invulnerável ou foram encantados que nem serpentes por uma musiquinha das arábias ou simplesmente falam sem conhecimento de causa.

    Responder
  15. Avatar de Sérgio Lackmann
    Sérgio Lackmann

    fail2ban deve ajudar

    Responder
  16. Avatar de João
    João

    LOL

    Estas guerras são demais!!!

    Quando aparece uma história destas há sempre alguém que não resiste a criar uma noticia com um texto tal que é impossível não criar FlameWars… Até parece que gostam de ver isto… LOLOL

    Sinceramente, é triste!!!

    Eu uso Linux em 90% do trabalho que faço (suse/opensuse, mais propriamente), mas nunca me passou pela cabeça dizer que o sistema é inviolável!!! E SE ALGUM DIA, o sistema tivesse o nivel de utilizadores que tem o Windows, SEM QUALQUER SOMBRA DE DÚVIDA que este tipo de ataques (Virus, botnets, adwares, etc, etc) iriam ocorrer com muito mais frequência!!!

    Agora, em termos de segurança, SEM DÚVIDA que é superior ao Windows!!! (Diferenças em relação ao OSX são poucas, embora – guiando-me pelo que os especialistas dizem, visto que não tenho grande experiência em OSX – o Linux seja ligeiramente mais seguro (Será?!).

    Venham mas é de lá sistemas baseados em MicroKernel’s para a malta TESTAR – Genode (genode.org) com seL4 (seL4.systems) parece um bom ponto de partida…

    Responder
  17. Avatar de CMatomic
    CMatomic

    Mas há muito se sabe que instalar o SSH coloca em risco a segurança do sistema , o titulo desta noticia engana aquém o lê .

    “Os atacantes instalam o XOR DDoS em sistemas Linux, incluindo outros sistemas onde este sistema está presente, como routers Wifi ou outros dispositivos de rede, através de simples tentativas de autenticação SSH, com de ataques de força bruta.”

    O problema é o o programa SSH e não o sistema Linux , se o blog fosse escrito por um utilizador diário de sistemas linux o titulo seria assim :
    ” SSH causa vulnerabilidades em sistemas Linux ”

    Objectivo da noticia não foi alertar , mas sim dar ma imagem dos sistemas Linux .

    “As ideias que haviam sobre os elevados padrões de segurança do Linux e a sua invulnerabilidade a ataques têm estado a ser cada vez menos reis, com estes sistemas a mostrarem que também eles podem ser vítimas de falhas de segurança.”

    Responder
    1. Avatar de Pedro Simões
      Pedro Simões

      Infelizmente desta vez não consegues estar mais longe da razão. Passo o dia dentro de servidores Linux e sempre por SSH…

      Quanto ao título, o problema é mesmo do Linux e de todo o software que o acompanha, onde o SSH está metido.

      Responder
      1. Avatar de CMatomic
        CMatomic

        Muito bem,onde o SSH esta metido é um software que pode ser desinstalado , nas distritos de descktop , não trazem o SSH instalado , logo não pode ser feito o ataque a que se refere.
        Por isso continuo achar que a sua publicação não é alertar as pessoas , mas sim uma tentativa de generalizar que o GNU/Linux sofre de um ataque directo , e isso não é verdade esse ataque é feito através do SSH .

        Responder
        1. Avatar de João
          João

          +1

          Responder
  18. Avatar de sakura
    sakura

    “”The threat of Linux/XOR.DDoS, a China-made ELF backdoor & ddoser malware, a rather specific threat compares to other Chinese ELF ddosers, and it’s still on going.””
    http://blog.malwaremustdie.org/

    PQ ataques de força bruta, no need.
    open firmwares.

    Responder
  19. Avatar de Sk1ll3
    Sk1ll3

    Ataques força-bruta para invasão? Isso não é SOFISTICADO! é estupidez do ISP

    Responder
  20. Avatar de leo kang
    leo kang

    Essa botnet agora descoberta e’ controlada por uma team de blackhats na deepweb e freenet chamada ‘0ruzhax’, ja tem algum tempo, e os ataques sao onde os clientes quiserem, sim eles vendem os ataques que fazem em troco de bitcoins, eles estao bem equipados e sabem o que fazem, sao todos russos.

    Responder
  21. Avatar de João
    João

    Só um esclarecimento:

    http://news.softpedia.com/news/xor-ddos-malware-for-linux-attacks-have-been-greatly-exaggerated-493287.shtml

    De acordo com os amigos da softpedia.com a historia não é bem assim…

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.