XOR DDoS Linux botnets spēj nograut jebkuru korporatīvo tīklu

[samurajs]

Uz XOR DDoS “trojana” bāzētais Linux “zombiju” tīkls sasniedzis tādus apmērus, ka spēj veikt uzbrukumus ar ātrumu līdz 150 Gbit/s. Ko tādu varbūt varētu izturēt Googles datu centri, bet ne jau standarta firmu infrastruktūras. Liekas dīvaini – visu laiku taču Linux šķita visdrošākais no drošajiem? Nekā – visa pasaule nu ir tā piepludināta ar šo OS, ka naivi būtu cerēt, ka urķi stāvēs maliņā.

Ne jau parasto lietotāju Linux datoriņiem uzbrūk ļaunais XOR DDoS. Tā mērķis ir daudzi miljoni slikti aizsargātu rūteru, serveru un NAS. Hakeriem pluss ir tāds, ka uz Linux ierīcēm parasti nav nekādu antivīrusu vai citādu pretpasākumu. Ir tikai parole, kuru caur SSH savienojumu mēģina bruteforsēt. Pie tam šajā gadījumā tiek izrādīta milzīga neatlaidība, serverus bombardē ar vidēji 20,000 mēģinājumiem ik dienas. Kādu no serveriem šādi bombardēja 3 mēnešus no vietas.

Ar rūteriem atkal cita opera: vai visi šo tīkla īpašnieki nomainījuši adminparoles savām ierīcēm? Skaidrs, ka ne; jo neuzskata to par vajadzīgu. Toties Wi-Fi paroli gan uzliek visi (jo nedod Dies’ – kaimiņš vēl nozags internetu). Ja nu bruteforce ir izdevies, pa SSH pienāk līdz 6000 simbolu gara komandu virkne, kura pārvērš ierīci zombijā. Un atkal – cik procenti lietotāju ievēros kādas pārmaiņas? Domājams, ka ļoti maz.

Pa to laiku Linux botnets tiek aktīvi izmantots ap 20 uzbrukumos ik dienas. 90% mērķu atrodas Ä€zijā, un lielākoties tie ir videospēļu izstrādātāji un izglītības iestādes.

[img]https://notepad.lv/userpix/28_zombiebotnet640x353_1.jpg[/img]

Avots

[Andron MacBeton]

Kuri tad būtu tie routeri?

Pa ssh atnāk 6000 simbolu virkne? 😀

Tas ir sh skripts kas novelk pārējos (prekompilētos) moduļus. BET TAS IR UZ DREAMBOXIEM!

Un tad vel visādi nejēgas te dusmojas, ka es uz nedrošiem routeriem lieku DD-WRT. Vot tie arī ir pie vainastādu botnetu existencē! Nevis es.

Ak, lasu ka liels skaits Ubiquiti iekārtu. Nu lūk kad beidzot uzliks sodus ISPos strādājošiem perdeļiem kuri izliekas par adminiem, tad tas beigsies! Un pie reizes beigsies arī problēma ar IPv4 !

[usins]

Nu tāpēc visi piekļuves punkti ir jāliek atsevišķa vlan un klientiem vajag liegt pieeju šim vlan, un lieta darīta. Gan Ubiquiti, gan DD-wrt ir viena un tā pati vaina, abiem ir rezerves root pieeja, kuru var izmantot paroles nozaudēšanas gadījumā. gan dd-wrt va caur ssh/telnet mierīgi nosēdināt gan ubiquti tā pat.

Ne velti izdomāti ir vlan un piekļuves tiesību norīkošana konkrētām iekārtām.

P.S.- joprojām nesaprotu kāda velna pēc vajag WAN pieeju mājas NAS? Tiešām tik grūti tad mājās arī uzstutēt savu vpn serverīti uz rūtera? DD-wrt vai mikrotik?

Manis pārstāvētajā iestādē vienīgais ports, kas ir atvērts ir 80 un l2tp/ipsec nepieciešamie. as arī viss. pārējais ir ciet. Un nevajag aizmirst visām iekārtām lietotājvārdus admin dzēst vai pārsaukt kaut vai savā vārdā vai neloģiskā vārdā, jo boti pārsvarā useri lieto root, admin, administrator. Jo kā saka, zinot sistēmas lietotājvārdu puse no kaujas jau ir uzvarēta.

[Andron MacBeton]

Vāvulis 😀

Pamatosi varbūt par to DD-WRT un Ubiquiti rezerves root?

Anekdote gatavā.

P.S. RouterOS v6.32.1 un Normis-home?

[Autors]

Ieraksti