Dynamische DNS-Adressen, um Schadsoftware auszuliefern
Webentwickler Denis Sinegubko will herausgefunden haben, dass derzeit geknackte Linux-Server verwendet werden, um Schadcode für Windows-Rechner zu vertreiben. Die Systeme weisen alle Gemeinsamkeiten auf.
Auf jedem der kompromittierten Server läuft der leichtgewichtige Webserver nginx, der via Port 8080 Schadcode vertreibt. Port 80 wird laut Blog-Eintrag häufig mit Apache betrieben, der saubere Inhalte auf Port 80 ausliefert. Somit schlussfolgert Sinegubko, dass die Einbrecher root-Zugriff erlangte haben. Andernfalls wäre es nicht möglich gewesen, nginx zu installieren. Wie der Einbruch aber genau funktionierte, sei derzeit nicht bekannt.
Die neue Methode flog auf, als Malware-Links plötzlich Adressen von DynDNS.com und No-Ip-com verwendeten. Die Provider wollen bereits mehr als 100 Adressen gelöscht haben. Allerdings reagieren die Botnet-Betreiber anscheinend schnell und registrieren Systeme unter anderen Adressen. Derzeit seien seiner Meinung nach 77 verschiedene im Einsatz. Sinegubko hat seine Liste mit bösen IP-Adressen and stopbadware.org weitergeleitet. Diese wollen sich bei den Providern melden. (jdo)
Webentwickler Denis Sinegubko will herausgefunden haben, dass derzeit geknackte Linux-Server verwendet werden, um Schadcode für Windows-Rechner zu vertreiben. Die Systeme weisen alle Gemeinsamkeiten auf.
Auf jedem der kompromittierten Server läuft der leichtgewichtige Webserver nginx, der via Port 8080 Schadcode vertreibt. Port 80 wird laut Blog-Eintrag häufig mit Apache betrieben, der saubere Inhalte auf Port 80 ausliefert. Somit schlussfolgert Sinegubko, dass die Einbrecher root-Zugriff erlangte haben. Andernfalls wäre es nicht möglich gewesen, nginx zu installieren. Wie der Einbruch aber genau funktionierte, sei derzeit nicht bekannt.
Die neue Methode flog auf, als Malware-Links plötzlich Adressen von DynDNS.com und No-Ip-com verwendeten. Die Provider wollen bereits mehr als 100 Adressen gelöscht haben. Allerdings reagieren die Botnet-Betreiber anscheinend schnell und registrieren Systeme unter anderen Adressen. Derzeit seien seiner Meinung nach 77 verschiedene im Einsatz. Sinegubko hat seine Liste mit bösen IP-Adressen and stopbadware.org weitergeleitet. Diese wollen sich bei den Providern melden. (jdo)
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
