Alfonso Maruccia

XOR DDoS, la botnet Linux contro il gaming asiatico

Una rete malevola di server Linux compromessi dirige enormi quantità di traffico-spazzatura verso i sistemi di aziende e istituzioni. L'origine del problema? Le password insicure

Roma - I ricercatori di sicurezza hanno scovato una botnet di server Linux infetti sfruttata da ignoti cyber-criminali per condurre attacchi Distributed Denial of Service (DDoS) di notevoli dimensioni, una rete costruita sulle fragili fondamenta di una opsec non adeguata ai rischi che si corrono connettendo un computer alla Internet moderna.

XOR DDoS, questo il nome con cui Akamai identifica la botnet, è in circolazione da almeno un anno ed è ora utilizzata per lanciare una media di 20 attacchi DDoS al giorno: il 90 per cento degli attacchi è indirizzato ai sistemi telematici presenti in Asia, mentre il target prediletto dai cyber-criminali è il settore videoludico con le istituzioni educative in seconda posizione.

Il trojan alla base di XOR DDoS viene installato su server Linux dotati di shell remota SSH, servizio compromesso con un attacco a forza bruta contro la password di accesso: una volta installato, il malware garantisce ai criminali la possibilità di inondare l'obiettivo con grandi quantità di dati con o senza spoofing dell'indirizzo IP del bot.
Il traffico di rete che XOR DDoS è in grado di movimentare più variare dal singolo Gigabit fino a 179 Gbps, stimano i ricercatori, una capacità di attacco di tutto rispetto considerando i 400 Gbps del più grande evento DDoS mai registrato in rete.

L'utilizzo dei sistemi Linux mal protetti per la costruzione di botnet DDoS è una pratica molto più frequente oggi rispetto al passato, avverte Akamai, e nel caso di XOR DDoS i consigli di profilassi includono la disabilitazione della shell SSH o l'utilizzo di una password robusta a prova di cracking.

Alfonso Maruccia
Notizie collegate
69 Commenti alla Notizia XOR DDoS, la botnet Linux contro il gaming asiatico
Ordina
  • per esporre un server su internet è neccessario un sistemista vero, e non improvvisato è sempre stato chiaro,
    in meno di 24 ore si è gia colpiti da una ventina di botnet dalla cina, stati uniti, russia ecc,
    bastava impostare una chiave robusta volendo con accesso tramite certificati, cambiare porta di default,
    mettere in cascata servizi come fail2ban, denyhosts, (bannano dopo n tentavi sbagliati), disabilitare l'accesso tramite root

    vogliamo fare di più creare un utente con nome particolare, e permettere solo a lui l'accesso, questo basta a fare fuori le stupide botnet,
    mettere una vpn in mezzo, permettere a livello firewall solo determinati ip l'acesso ecc
    non+autenticato
  • server esposti ad internet che permettono l'accesso da root? ancora ci sono idioti che permettono questo sui server da loro amministrati? no, perche' altrimenti se l'attaccante "buca" una utenza non privilegiata, poi deve "scalare" per diventare root.

    ora, no ne' che perche "uso linux" sono automaticamten un drago della sicurezza: anche lo stroumento migliore del mondo puo' essere malamente usato da un idiota.

    PS: ma erano server ubuntu? ho qualche sospetto in tal senso.
    non+autenticato
  • - Scritto da: ...
    > server esposti ad internet che permettono
    > l'accesso da root? ancora ci sono idioti che
    > permettono questo sui server da loro
    > amministrati? no, perche' altrimenti se
    > l'attaccante "buca" una utenza non privilegiata,
    > poi deve "scalare" per diventare
    > root.
    >
    > ora, no ne' che perche "uso linux" sono
    > automaticamten un drago della sicurezza: anche lo
    > stroumento migliore del mondo puo' essere
    > malamente usato da un
    > idiota.

    Sappiamo chi ringraziare.

    Del resto non abbiamo mai nascosto che per amministrare un server ci vogliono "le palle".
    E sempre ringraziando chi sappiamo, oggi c'e' una generazione di utonti che invece di sforzarsi per farsi "le palle", si sono fatti illudere dal doppioclick.

    Il risultato e' che gente senza neanche il patentino per motorino, pretende di guidare la macchina di Hamilton.
  • - Scritto da: panda rossa


    > Il risultato e' che gente senza neanche il
    > patentino per motorino, pretende di guidare la
    > macchina di Hamilton.

    Per guidare una F1 non è necessaria nessuna patente stradale. Semplicemente devi essere bravo nei fatti, non a parole.
  • La metafora ci stava.
    Se sali su di una ferrari da strada guidata da un pilota in pista, capisci quanto tu non sappia guidare in realtà, immagina su una F1.
  • - Scritto da: Joshthemajor
    > La metafora ci stava.
    > Se sali su di una ferrari da strada guidata da un
    > pilota in pista, capisci quanto tu non sappia
    > guidare in realtà, immagina su una F1.

    Mi ricorda un articolo in cui lessi che una volta Schumacher in ritardo per l'aereoporto prese un taxi e chiede all'autista di guidare lui, l'autista accettò e al giornalista che lo intervistò successivamente disse: è sempre stato dentro alle regole stradali, ma è stato pazzesco, non sapevo che il mio taxi potesse fare quelle cose !!!
    non+autenticato
  • Se è rimasto dentro le regole praticamente non ha fatto nullaA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > Se è rimasto dentro le regole praticamente non ha
    > fatto nulla
    >A bocca aperta

    Mai stato a bordo con un professionista ? Pilota di rally o in pista ?
    non+autenticato
  • Cosa cambia visto che devi stare dentro le regole ?A bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > Cosa cambia visto che devi stare dentro le regole
    > ?
    >A bocca aperta

    Cambia, che se il limite e' 90, va a 90 anche se sono tornanti in salita.
    Al semaforo fa da 0 al limite di velocita' in un paio di secondi.
    E quando deve parcheggiare, mica fa manovra: tira il freno a mano ed entra in testacoda nel parcheggio.
  • La maggior parte di queste cose non le fai rispettando le regole...
    non+autenticato
  • - Scritto da: Etype
    > La maggior parte di queste cose non le fai
    > rispettando le regole...

    Non è vero, è che non sei capace.
    non+autenticato
  • ..la disabilitazione della shell SSH...

    magari staccare il cavo di rete risulta piu' efficiente.

    ma vi rendete conto delle castronerie che scrivete?
    non+autenticato
  • - Scritto da: marcione

    > ma vi rendete conto delle castronerie che
    > scrivete?

    devi capire che hanno pescato una non falla di linux per cercare di pareggiare i conti con le megafalle di macacos e ossics e del disastro che è successo ieri con windows update?

    hanno cercato di dire: "lo vedete che pure voi linari siete una groviera?"....gli è andata male peròOcchiolino
    non+autenticato
  • Che è successo ieri con Winupdate ?
    non+autenticato
  • Pazzesco, tra l'altro è il servizio meno efficiente che c'è.

    La settimana scorsa mi è capitato di reinstallare su una macchina Win 7 quindi vado con Winupdate per gli aggiornamenti e sta la bellezza di 2 ore e mezzo con la CPU al 100% ( il famoso processo svchost al 100%) a fare cosa non si sa visto che ha fatto attività su internet solo i primi 2 minuti, così, 2 ore e mezzo per sprecare corrente inutilmente solo per avere la lista delle patch e l'avevo anche aiutato installando subito IE11 , .Net 4.6 e l'ultimo Windows update agent prima di fare l'update... alla faccia.

    Questo problema si ripresenta puntualmente ad ogni versione praticamente da XP fino a Win 10...
    non+autenticato
  • Non per difendere winzoz ma non mi è mai capitato!
  • Scherzi ?

    Prova a fare una ricerca sul famigerato processo svchost.exe collegato a Windows update che ti blocca il computer perché si pappa il 100% della CPU e a volte oltre 1GB di RAM , difetto che è comparso da XP e che può capitare persino su Win 10
    non+autenticato
  • - Scritto da: Joshthemajor
    > Non per difendere winzoz ma non mi è mai capitato!
    anche a me che non uso windows non è mai capitato!!! Oppure il computer non lo accendi mai e lo usi solo come sopramobile...
    Penso che chiunque che "smacchina" un po' con i PC ed è costretto a reinstallare il windows di un amico o il proprio, deve passare per il windows update che fa letteramente PENA!!!!
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: marcione
    >
    > > ma vi rendete conto delle castronerie che
    > > scrivete?
    >
    > devi capire che hanno pescato una non falla di
    > linux per cercare di pareggiare i conti con le
    > megafalle di macacos e ossics e del disastro che
    > è successo ieri con windows
    > update?
    >
    > hanno cercato di dire: "lo vedete che pure voi
    > linari siete una groviera?"....gli è andata male
    > però
    >Occhiolino

    mal comune mezzo gaudio quindiSorride
    non+autenticato
  • Se il bug di sicurezza è nell'utente allora non puoi fate nulla per impedire gli attacchi.

    Basta poco scaricarsi la lista delle password più usate e NON USARLE
    non+autenticato
  • - Scritto da: Andreabont
    > Se il bug di sicurezza è nell'utente allora non
    > puoi fate nulla per impedire gli
    > attacchi.
    >
    > Basta poco scaricarsi la lista delle password più
    > usate e NON
    > USARLE

    ... o magari disabilitare il login tramite password e mettere un paio di chiavi?
    Shiba
    3876
  • - Scritto da: Shiba
    > - Scritto da: Andreabont
    > > Se il bug di sicurezza è nell'utente allora
    > non
    > > puoi fate nulla per impedire gli
    > > attacchi.
    > >
    > > Basta poco scaricarsi la lista delle
    > password
    > più
    > > usate e NON
    > > USARLE
    >
    > ... o magari disabilitare il login tramite
    > password e mettere un paio di
    > chiavi?

    e usare una porta non standard per SSH.
    non+autenticato
  • - Scritto da: marcione

    > e usare una porta non standard per SSH.

    e ci metterei anche il port knocking, visto che ormai è integrato nello stack di rete di linux
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: marcione
    >
    > > e usare una porta non standard per SSH.
    >
    > e ci metterei anche il port knocking, visto che
    > ormai è integrato nello stack di rete di
    > linux

    si ma il PK e' un po' come una password e va cambiata la sequenza di tanto in tanto. le capracce dell'engineering qui gia' mi sclerano quando devono cambiare la password di ldap, figuriamoci se gli implementi il port knocking sui server pubblici o sulla vpn...
    non+autenticato
  • - Scritto da: marcione

    > figuriamoci se gli implementi il port knocking
    > sui server pubblici o sulla
    > vpn...

    in pratica vogliono la cosa "fa tutto lui", salvo poi gridarti in faccia quando il server viene bucato?

    sulla falsariga dell'amico/conoscente/parente che ti telefona e ti dice: "ehi il mio pc non va, qual è il problema?"...e s'incazza quando gli rispondi: "boh!"
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: marcione
    >
    > > figuriamoci se gli implementi il port
    > knocking
    > > sui server pubblici o sulla
    > > vpn...
    >
    > in pratica vogliono la cosa "fa tutto lui", salvo
    > poi gridarti in faccia quando il server viene
    > bucato?
    >
    > sulla falsariga dell'amico/conoscente/parente che
    > ti telefona e ti dice: "ehi il mio pc non va,
    > qual è il problema?"...e s'incazza quando gli
    > rispondi:
    > "boh!"

    esattoSorride e' un serraglio mal assortito di ruttacodice e mi diverto un mondo a prenderli per il cujo. e ci sono una decina di fighette iberiche, che non guasta maiSorride

    avresti dovuto vedere le scene di panico in piena crisi heartbleedSorride loro e la loro ca**o di fedora 18...
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: marcione
    >
    > > figuriamoci se gli implementi il port
    > knocking
    > > sui server pubblici o sulla
    > > vpn...
    >
    > in pratica vogliono la cosa "fa tutto lui", salvo
    > poi gridarti in faccia quando il server viene
    > bucato?


    mai avuto a che fare con utonti interni, eh?

    > sulla falsariga dell'amico/conoscente/parente che
    > ti telefona e ti dice: "ehi il mio pc non va,
    > qual è il problema?"...e s'incazza quando gli
    > rispondi: "boh!"

    esatto.
    oppure:

    lui: "5 mesi fa mi hai prestato il mouse perche il mio non andava, ti ricordi?"
    tu: "si e non me lo hai ancora ridato"
    lui: "stamattina non VA PIU YOUTUBE!!! cosa ha fatto il tuo mouse al mio PC?"
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: collione
    > > - Scritto da: marcione
    > >
    > > > figuriamoci se gli implementi il port
    > > knocking
    > > > sui server pubblici o sulla
    > > > vpn...
    > >
    > > in pratica vogliono la cosa "fa tutto lui",
    > salvo
    > > poi gridarti in faccia quando il server viene
    > > bucato?
    >
    >
    > mai avuto a che fare con utonti interni, eh?
    >
    > > sulla falsariga dell'amico/conoscente/parente
    > che
    > > ti telefona e ti dice: "ehi il mio pc non va,
    > > qual è il problema?"...e s'incazza quando gli
    > > rispondi: "boh!"
    >
    > esatto.
    > oppure:
    >
    > lui: "5 mesi fa mi hai prestato il mouse perche
    > il mio non andava, ti
    > ricordi?"
    > tu: "si e non me lo hai ancora ridato"
    > lui: "stamattina non VA PIU YOUTUBE!!! cosa ha
    > fatto il tuo mouse al mio
    > PC?"

    Sara' scaduta la durata del prestito.
    Riportami qui il mouse e vedrai che youtube tornera' a funzionare.
  • - Scritto da: panda rossa
    > - Scritto da: ...
    > > - Scritto da: collione
    > > > - Scritto da: marcione
    > > >
    > > > > figuriamoci se gli implementi il
    > port
    > > > knocking
    > > > > sui server pubblici o sulla
    > > > > vpn...
    > > >
    > > > in pratica vogliono la cosa "fa tutto
    > lui",
    > > salvo
    > > > poi gridarti in faccia quando il server
    > viene
    > > > bucato?
    > >
    > >
    > > mai avuto a che fare con utonti interni, eh?
    > >
    > > > sulla falsariga
    > dell'amico/conoscente/parente
    > > che
    > > > ti telefona e ti dice: "ehi il mio pc
    > non
    > va,
    > > > qual è il problema?"...e s'incazza
    > quando
    > gli
    > > > rispondi: "boh!"
    > >
    > > esatto.
    > > oppure:
    > >
    > > lui: "5 mesi fa mi hai prestato il mouse
    > perche
    > > il mio non andava, ti
    > > ricordi?"
    > > tu: "si e non me lo hai ancora ridato"
    > > lui: "stamattina non VA PIU YOUTUBE!!! cosa
    > ha
    > > fatto il tuo mouse al mio
    > > PC?"
    >
    > Sara' scaduta la durata del prestito.
    > Riportami qui il mouse e vedrai che youtube
    > tornera' a
    > funzionare.

    hehe io lo faccio con le VLANSorride
    non+autenticato
  • - Scritto da: ...

    > lui: "stamattina non VA PIU YOUTUBE!!! cosa ha
    > fatto il tuo mouse al mio
    > PC?"

    tu ( astuto ): "gli ha dato un morso e gli ha attaccato la peste....è pure contagiosa!!" Rotola dal ridere
    non+autenticato