针对Linux的新僵尸网络搜索,以150Gbps的速度每天发起20次DDoS攻击
相关标签: # 服务器# 脚本# 服务器# 设备# 缺陷
分布式拒绝服务网络XOR DDoS僵尸网络,目标每天超过20个网站根据内容交付公司Akamai Technologies发布的一条建议。
超过90%的XOR DDoS目标位于亚洲,最常见的目标是游戏行业和教育机构。
XOR creator应该来自中国,理由是XOR的所有命令和控制(C&C)服务器的IP地址都位于亚洲,大多数受感染的Linux机器也在那里。
XOR DDoS僵尸网络如何感染Linux系统?
与其他DDoS僵尸网络不同,XOR DDoS僵尸网络通过网络路由器等嵌入式设备感染Linux机器,然后brute强制执行机器的SSH服务以获得对目标机器的根访问权限。
一旦攻击者获得安全的外壳凭据并登录,他们就会使用root权限运行一个简单的外壳脚本,该脚本会秘密下载并安装恶意的XOR僵尸网络软件。
然而,没有证据表明XOR DDoS利用Linux操作系统本身的缺陷感染计算机。
高带宽DDoS攻击
Akamai的安全情报响应团队(SIRT)发现了DDoS攻击 – SYN和DNS洪水作为观察到的攻击向量;带宽从每秒几千兆比特(Gbps)到近179英镑.
上面的数字是即使是大多数跨国公司网络也无法应对的大规模DDoS攻击量。然而,最大的DDoS攻击已达到400 Gbps.
“在过去的一年里,XOR DDoS僵尸网络已经发展壮大,现在可以用来发动[大规模]DDoS攻击。” 斯图尔特·斯科利Akamai安全业务部门的高级副总裁在一份声明中表示。
Scholly进一步补充说,攻击者正在将注意力从Windows僵尸网络转移到构建Linux僵尸网络,以发起大规模DDoS攻击。然而,在过去,Windows计算机是DDoS恶意软件的主要目标。
如何检测和缓解XOR DDoS僵尸网络?
Akamai的建议概述了两种不同的解决方案检测XOR的最新版本恶意软件。
- 检测网络中的XOR DDoS僵尸网络,查找机器人与其之间的通信;C服务器,使用建议中给出的Snort规则。
- 检测主机上的XOR DDoS僵尸网络感染,使用咨询文件中的YARA规则。
此外,Akamai还为删除XOR DDoS特洛伊木马从您的机器上,如下所示:
- 首先,识别两个目录(/boot和/etc/init.d)中的恶意文件
- 确定负责主流程持久性的支持流程
- 杀死恶意进程
- 删除恶意文件(在/boot和/etc/init.d中)
此外,禁用SSH(Secure Shell)的系统根登录或使用强密码也可以解决此问题。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
