Proponha uma correção, faça uma sugestão
Descoberta botnet Linux que faz ataques DDoS devastadores
As botnet são actualmente uma das maiores ameaças que existem na Internet. Controladas remotamente, estes grupos de máquinas conseguem graus de destruição elevados.
Uma nova botnet descoberta recentemente tem uma dimensão muito grande e consegue realizar ataques que contornam as protecções e os sistemas de qualquer grande empresa ou entidade.
A dimensão que a botnet agora descoberta tem é de tal forma elevada que consegue realizar ataques que ultrapassam os 150Gbps, algo que poucas entidades conseguem suportar.
Usando o malware XOR DDoS, que foi descoberto em Setembro deste ano, esta botnet tem vindo a crescer e a tomar dimensões que ultrapassam qualquer outra que seja conhecida.
Os atacantes instalam o XOR DDoS em sistemas Linux, incluindo outros sistemas onde este sistema está presente, como routers Wifi ou outros dispositivos de rede, através de simples tentativas de autenticação SSH, com de ataques de força bruta.
Uma vez descobertas as credenciais de acesso a estes equipamentos, são instalados os elementos que vão permitir mais tarde controlar as máquinas e realizar os ataques.
Para se esconder nestes sistemas este malware usa várias técnicas, entre elas várias conhecidas dos mais comuns rootkits, e que lhe garantem que passe despercebido.
Esta botnet foi descoberta por uma equipa da Akamai Technologies, que registou vários ataques recentes, que vão de poucos gigabits por segundo até aos muito mais elevados e incapacitantes 150 .
A actividade da botnet XOR DDoS tem sido elevada, realizando cerca de 20 ataques por dia, a maioria deles dirigidos à Ásia, contra empresas do ramo dos jogos online e instituições de ensino.
O XOR DDoS é apenas um dos vários malwares que têm estado a ser utilizados para infectar máquinas e dispositivos acessíveis na Internet.
Esta é uma prática cada vez mais comum, tudo graças às fracas medidas de segurança que estes equipamentos têm e que os tornam alvos fáceis.
Outro dos problemas que afectam estes equipamentos é a ausência de manutenção e de actualizações de segurança.
As ideias que haviam sobre os elevados padrões de segurança do Linux e a sua invulnerabilidade a ataques têm estado a ser cada vez menos reis, com estes sistemas a mostrarem que também eles podem ser vítimas de falhas de segurança.
Este artigo tem mais de um ano
Loading ...
Nenhum sistema é perfeito, digam o que disserem. Mas neste caso aqui, os atacantes só conseguem pôr o malware se descobrirem as credenciais de acesso, por isso não é uma falha de segurança do próprio Linux.
Parcialmente correcto. Torna-se difícil bloquear ataques ao ssh quando é o proprio router a fazê-los.
Como é que o router os faz? A maior parte dos routers tem kernels extremamente antigos com falhas se segurança, que são exploradas pelos atacantes para ganhar acesso root.
Quem pensava que o Linux e o OSX eram imunes aos ataques, cada vez mais constatam que estão errados.
O Windows sempre foi o mais atacado pois sempre foi o sistema operativo com maior cota de mercado.
Agora, que o OSX e o Linux começam a “ganhar” mais utilizadores, passaram a ser apetecíveis para os hackers…
Assim que a microsoft introduzir o openssh ou o libressh no powershell do windows 10 então ai ficam com ainda mais máquinas para infectar com este mesmo ataque, visto que o problema não é do sistema em si mas de uma de mtas ferramentas que os compoem.
e nem é um problema da ferramenta e sim um problema de usuário que não sabe usar a ferramenta.
usuário, lol
Nem por isso. Esquece lá isso da popularidade. O alvo mais comum é até servidores. NASA, Bancos, Governos e grandes empresas (Google, Amazon, Facebook, Sonae, …). Estes servidores que suporta a infraestrutura é quase toda sistemas UNIX e adivinha. Não há falhas?
E a botnet instalada nas máquinas foram por bruteforce. Falta de configuração: não bane o IP que tenta descobrir as credenciais. E digo que para descobrir estas credencias pela net em brute force é porque tem passwords muito fáceis.
Falo por experiência própria e consegui mais de 100 máquinas em Linux a correr um bonet (feito por mim em C) e conseguia picos de 400-500 Mbps em UDP.
Isto tudo para dizer que esta rede de máquinas infetadas foram simplesmente por falta de segurança pela parte de quem instalou/gere. Palavras chave tipo:admin ou 1234 é simplesmente burrice.
Nenhum sistema, seja windows ou unix, consegue proteger-se da nabice dos utilizadores ou administradores de sistemas.
E nao sou obcecado por Linux. Uso Mac e Windows neste momento devido ao trabalho. Linux é só quando preciso de fazer troubleshooting à rede e prefiro usar as ferramentas e ambiente unix.
“Falta de configuração: não bane o IP que tenta descobrir as credenciais” proxy list amigo, proxy list.
Porque nunca limitaram o numero de autenticações por minuto no SSH. Se forem 30 por minuto o brute force perdia o sentido
Faz todo o sentido ter um counter nas aplicações de ligação remota, mas agr é algo que tem-se de perguntar ao pessoal do openssh ou do libressh pq é que n o fizeram antes.
o ssh, open ou não, e o libressh são a última frente de defesa contra um ataque. Normalmente existem outros mecanismos de defesa, idealmente em camadas, quando se expõem activos na internet. Não digo que não deveríamos ter mais controlos no último nível (e há demasiados que dependem do utilizador), mas digo que nestes casos não há definitivamente uma gestão de segurança activa…
Pelo que vi tinha-se que introduzir um limite máximo de autenticações por conexão e configurar umas linhas no iptables para fazer o efeito de n_ligacoes_por_min. N encontrei nada no proprio ssh que fizesse o mesmo, mas assim desta forma tem-se mais controlo.
A ideia é mitigar o problema *antes* de chegar ao serviço, daí ser no iptables. Limitar no proprio serviço, estás a introduzir o overhead desnecessário que te vai consumir recursos na mesma em caso de DDoS.
E colocar acesso por chaves tb ajuda
iptables Luis Costa ?
podes dar um exemplo p.f.
Boas amigo. Boa ideia vou fazer isso no meu
Fail2ban …
Onde andam os pinguins agora?! fugiram?!
Limpando os pcs dos amigos,removendo Baidu’s
lol nem mais
Ai tens a resposta Mr. Mikes.
Porque nunca limitaram o numero de autenticações por minuto no SSH. Se forem 30 por minuto o brute force perdia o sentido
Posso-te dizer que em todas as minhas máquinas só tenho 5 por minuto configurado (e mesmo assim tenho 4 a mais).
“incluindo outros sistemas onde este sistema está presente, como routers Wifi ou outros dispositivos de rede”….tens um router pinguin certo? stop flame SO.
Tenho um router e uma NAS
A partir do momento em que tens acesso a uma conta com privilégios de administrador tudo pode ser feito, não há volta a dar a isto LOLOLOL o que sugeres? Acho que a conclusão final do artigo esta um pouco feita para estas guerras de comentários, mas enfim . . .
E o Rei das bootnet supostamente é o Windows e o Linux é invulnerável e muito superior.. Isto é bom para relembrar ao linuxtards que qualquer sistema operativo não resta imune a nada.. Seja ele qual for.. E que o Windows tem mais vírus por ser o mais usado, não por ser mau.. Quanto mais maquinas Linux houver, maior a vontade de descobrir exploits..
Deve de haver mais máquinas com linux do que pensa. Basta pensar um pouco, qualquer router que compra provavelmente deve ter linux instalado.
Não como utilizador final a usar, mas sim em servidores e routes em que o elemento humano é mais raro de interagir com a maquina e fazer asneira.. Sendo assim a maior parte dos exploits a serem procurados são as de ligações remotas ( la esta, o fator humano é escasso em maquinas Linux), ataques man in The middle, etc.
Se o Linux fosse mais usado por utilizadores os tipos de ataque são diferentes ( vejamos o caso do Android, que apesar de não ser um puro Linux, grande parte dos ataques são exploits tanto à ignorância dos utilizadores, como as ferramentas e compiladores no caso do IOS, mas com finalidade de chegar ao elemento humano
Mesmo o Linux sendo usado massivamente em routers, servers,… existem mais exploits para Windows do que para Linux.
E por que será q a Microsoft trocou seus servidores para linux se eles tem o windows server? rsrsrsrsrs
+1
Basicamente o problema não está presente no “Linux” em si, mas sim no software de SSH que permite nessas máquina usar bruteforce para obter os dados de autenticação e posteriormente aceder à maquina e fazer a instalação do malware.
Quanto ao @Mikes, epah eu sou linux-user, e posso dizer-te que tiveste um comentário infeliz, que mostra que és não um hater mas sim um daqueles gajos que gosta de porrada nos comments! Bem, que bom para ti! 😉
Quanto ao comentário do @Luis Costa, poderá não ser assim tão facil visto que o software do tipo de aparelhos é muito raro ser atualizado e após ter saído da fabrica tarde ou nunca são corrigidos BUGs no software. Esse tipo de config é feita no SSH, e se não o fizeram é porque há interesse que este tipo de ataques se crie para que force também as pessoas a comprar novos hardwares para tentar resolver problemas de lentidão na conexão à Internet durante os Ataques que nem sabem que estão a ocorrer usando os seus aparelhos.
Eu depende dos dias!! Hoje estou assim virado para a trollice.
(agora sem trollice: actualmente não uso, mas usei muito tempo Linux e estou a pensar em breve preparar uma VM ou dualboot para ver como andam as coisas em algumas distros).
ya acontece a todos 😉
As distros estão boas, algumas confusões com o Kubuntu, Fedora está sempre com o ultimo grito e a maioria do nerds estão a passar para Arch porque é rolling.
Mas as coisas ficam ainda melhores quando lançarem uma distro (se ainda não lançaram) com o Kernel 4.0, que dá para fazer load de um novo kernel sem reiniciar, tb tem melhor suporte para graficas e cpu’s.
Usei durante muito tempo Fedora (acho que entre o Fedora 7 e 10) como alternativa constante ao windows.
Estou a pensar em revisitar o Fedora e experimentar umas menos “mainstream”.
fazer load dum novo kernel sem reiniciar já existe há tantos anos…. não precisas do 4.0 para isso 😉 (https://en.wikipedia.org/wiki/Kexec)
Em relação ao 4.0 em si, no Arch já tem, e não sei se o Antergos ou o Manjaro não terão já também.
Antergos já tem. Kernel 4.2.1, atualizei ontem.
Não concordo com estas guerras sem sentido. Todos os sistemas são vulneráveis, principalmente quando não são observados os princípios mínimos de segurança. O brute force pode e é usado contra todos os sistemas, e apanha sempre as credenciais mais fracas. Contra isto podemos implementar vários controlos, passivos e/ou activos, no contexto de uma política de segurança.
Enfim, tema relacionado com gestão de segurança e nem por isso com linux ou windows… Agora, é um facto que grande parte dos activos de rede e de servidores que estão expostos na internet corresponde a sistemas linux, sendo por isso normal que seja este o tipo de sistemas visado neste ataque.
Sempre que se encontra uma falha qualquer em linux o Windowsfanboy go like:
Xiiii o linux não presta também tem virus e falhas e não percebo nada de linha de comandos e aquilo é burros, software fechado é tão bom e eu nunca comprei windows na vida porque só faço pirataria.
Sempre que se encontra uma falha em windows um sysadmin Linux experiente go like:
Já é o terceiro esta semana e nós pagamos um balúrdio por isto, toca a reiniciar…
Windows fanboys estilo gajomau e outros vocẽs têm toda a razão linux não presta… nunca prestou… portanto o melhor é deixarem de usar a net, tudo o que usam está assente em open source e linux, não vá alguma coisa de mal acontecer ao vosso router de casa por não ter windows, até estar tudo com windows 2012 r2 (server, switches, routers, aviões, comboios, etc) não usem a net, não andem de transportes, não usem os bancos escondam o dinheiro debaixo do colchão, essa praga do open source e do linux tem de acabar concordo completamente.
Mais uma coisa, sabem quem está a desenvolver para Linux e Debian?
A Microsoft!!!!!
Amigo estamos em Portugal , tudo que da lucro é bom , o que não dá, fala-se mal .
De facto esse é um grande factor, mas não é o único. Estamos a falar de sistemas operativos fundamentalmente diferentes. Tão diferentes que até a ideologia é diferente. Além disso, o linux sempre teve vírus e falas de segurança…
Mas se pensares um pouco, o linux é mais seguro sim. E também é um alvo muito apetecível… Não fosse a maioria dos servidores expostos (directamente) na Net em linux…
Para instalares um vírus em Linux tens que dar permissão.
O sistema linux é realmente mais seguro que os demais, e não é pelo fato de o mesmo ser menos usado, isso é mito, é pelo modo como o sistema foi desenvolvido, um dos detalhes principais é não utilizar a conta de root, e sim o sudo, já o SSH, continua a ser uma execelente ferramenta para se conectar remotamente ao sistema por um canal com criptografia, o fato de tentarem fazer bruteforce no SSH, e o mesmo que tentar fazer um bruteforce em Telnet, aplicações web, RDP, e qualquer outro software que esteja exposto na internet, qualquer um deles podem ser alvos de bruteforce, então não é assim um problema critico voltado ao SSH, cabe ao usuário utilizar de recursos para mitigar esse problema de bruteforce, como fail2ban, como bloqueio via tcp wrappers, iptables, etc…
Agora esse negocio de que um sistema é mais utilizado que outro por isso existem mais virus, malwares, isso é mito, e não tem nada ver com o fato do bruteforce voltado ao SSH.
O que nao faltam são soluções para bloquear ips que tentem fazer bruteforce attack, além disso e aconselhavel limitar o acesso ao ssh , bem como outras medidas de segurança . Nunca ninguém pode afirmar que o OS X ou Y e imune a ataques, isto e a mesma coisa que um servidor windows a correr Remote Desktop ser hackado por causa de uma password fraca , ou de bruteforce …
é o que dá qd não se explica tudo a quem está entre a cadeira e o teclado.
Qd se instala uma distro que já vem com servidor ssh, e não se retira das permissões de acesso ao ssh o root ou os utilizadores “sudos”. É normal que quem faz ataques comece a olhar para as boxes unix com ssh e totalmente “abertas”.
O melhor é não instalar o ssh mesmo:)
Hoje sai a noticia, amanhã estará corrigido, é isto que o povo gosta “open source”.
Tal e qual, não tenha dúvidas quanto a isso.
No final do artigo falam da ideia da invulnerabilidade. Sinceramente, e com o devido respeito, isso não passa de uma epifania. A maioria do pessoal que usa Linux sabe que nenhum sistema é invulnerável. Ser mais difícil de atacar não significa impenetrabilidade. As almas que acham o Linux invulnerável ou foram encantados que nem serpentes por uma musiquinha das arábias ou simplesmente falam sem conhecimento de causa.
fail2ban deve ajudar
LOL
Estas guerras são demais!!!
Quando aparece uma história destas há sempre alguém que não resiste a criar uma noticia com um texto tal que é impossível não criar FlameWars… Até parece que gostam de ver isto… LOLOL
Sinceramente, é triste!!!
Eu uso Linux em 90% do trabalho que faço (suse/opensuse, mais propriamente), mas nunca me passou pela cabeça dizer que o sistema é inviolável!!! E SE ALGUM DIA, o sistema tivesse o nivel de utilizadores que tem o Windows, SEM QUALQUER SOMBRA DE DÚVIDA que este tipo de ataques (Virus, botnets, adwares, etc, etc) iriam ocorrer com muito mais frequência!!!
Agora, em termos de segurança, SEM DÚVIDA que é superior ao Windows!!! (Diferenças em relação ao OSX são poucas, embora – guiando-me pelo que os especialistas dizem, visto que não tenho grande experiência em OSX – o Linux seja ligeiramente mais seguro (Será?!).
Venham mas é de lá sistemas baseados em MicroKernel’s para a malta TESTAR – Genode (genode.org) com seL4 (seL4.systems) parece um bom ponto de partida…
Mas há muito se sabe que instalar o SSH coloca em risco a segurança do sistema , o titulo desta noticia engana aquém o lê .
“Os atacantes instalam o XOR DDoS em sistemas Linux, incluindo outros sistemas onde este sistema está presente, como routers Wifi ou outros dispositivos de rede, através de simples tentativas de autenticação SSH, com de ataques de força bruta.”
O problema é o o programa SSH e não o sistema Linux , se o blog fosse escrito por um utilizador diário de sistemas linux o titulo seria assim :
” SSH causa vulnerabilidades em sistemas Linux ”
Objectivo da noticia não foi alertar , mas sim dar ma imagem dos sistemas Linux .
“As ideias que haviam sobre os elevados padrões de segurança do Linux e a sua invulnerabilidade a ataques têm estado a ser cada vez menos reis, com estes sistemas a mostrarem que também eles podem ser vítimas de falhas de segurança.”
Infelizmente desta vez não consegues estar mais longe da razão. Passo o dia dentro de servidores Linux e sempre por SSH…
Quanto ao título, o problema é mesmo do Linux e de todo o software que o acompanha, onde o SSH está metido.
Muito bem,onde o SSH esta metido é um software que pode ser desinstalado , nas distritos de descktop , não trazem o SSH instalado , logo não pode ser feito o ataque a que se refere.
Por isso continuo achar que a sua publicação não é alertar as pessoas , mas sim uma tentativa de generalizar que o GNU/Linux sofre de um ataque directo , e isso não é verdade esse ataque é feito através do SSH .
+1
“”The threat of Linux/XOR.DDoS, a China-made ELF backdoor & ddoser malware, a rather specific threat compares to other Chinese ELF ddosers, and it’s still on going.””
http://blog.malwaremustdie.org/
PQ ataques de força bruta, no need.
open firmwares.
Ataques força-bruta para invasão? Isso não é SOFISTICADO! é estupidez do ISP
Essa botnet agora descoberta e’ controlada por uma team de blackhats na deepweb e freenet chamada ‘0ruzhax’, ja tem algum tempo, e os ataques sao onde os clientes quiserem, sim eles vendem os ataques que fazem em troco de bitcoins, eles estao bem equipados e sabem o que fazem, sao todos russos.
Só um esclarecimento:
http://news.softpedia.com/news/xor-ddos-malware-for-linux-attacks-have-been-greatly-exaggerated-493287.shtml
De acordo com os amigos da softpedia.com a historia não é bem assim…