Gefahr aus dem Netz

Bot befällt DSL-Router mit Linux

Bot befällt DSL-Router mit Linux

Nils Magnus
25.03.2009 Die Schadsoftware Psyb0t nistet sich seit einigen Monaten in Consumer-Geräten ein, die unter Linux auf einer MIPS-CPU laufen. Infizierte Geräte binden sich zu einem Botnet über IRC zusammen und warten auf Kommandos.

Schon im Januar hatte der Australier Terry Baume in einem kurzen Paper darauf hingewiesen, das die unter dem Namen Psyb0t firmierende Malware Linux-Systeme befällt. Zumeist sind dies DSL-Router. Betroffen ist eine ganze Palette von Geräten, die die CPU unter Linux nutzen, darunter auch verschiedene Versionen von OpenWRT. Angriffsvektor sind überwiegend Telnet- oder SSH-Zugänge, die auch auf das WAN-Interface des Gerätes horchen sowie schwache oder fehlende Passwörter an diesen Schnittstellen. Dem Vernehmen nach hat die Software verschiedene Angriffswerkzeuge eingebaut, darunter einen Netzwerkscanner und einen Brute Forcer.

Aufmerksamkeit hatte das Botnet erregt, nachdem es eine Website mit IP-Blacklists mit einem Denial-of-Service-Angriff belegt hatte. Verschiedene Quellen berichten von 80.000 - 100.000 Clients, die sich alle bei dem offenkundig schwer zurückverfolgbaren IRC-Kanal angemeldet haben. Einer Mitteilung im Steuerkanal zufolge ist das Botnet mittlerweile deaktiviert, bleibt aber dennoch das erste seiner Art, das im größeren Maßstab Linux-Geräte angegriffen hatte.

Da das Filesystem auf den betroffenen Routern readonly gemountet ist, genügt es in der Regel, das DSL-Modem neu zu booten, ein sicheres Passwort für den Admin-Zugang einzurichten und die Firmware auf den neuesten Stand zu bringen, um den Schädling los zu werden.

Ähnliche Artikel

Kommentare
Unwissenheit Schützt vor strafe nicht ...
Ulf B., Mittwoch, 25. März 2009 21:05:41
Ein/Ausklappen

Man sieht hier wieder ganz schön. Mann kann noch so ein sicheren Panzerschrank haben. Aber wenn man die Türe offen stehen lässt oder das Passwort 123.. wählt, kommt dennoch jeder rein!

Ich fand es schon immer befremdlich, selbst im Intranet hinter der Firewall eine Konfiguration ohne sichere (verschlüsselte) und passwortgeschützte Konfigurationsmöglichkeit offen zu lassen. Denn durch eine kleine Unachtsamkeit bei der Konfiguration ist diese auch aus dem Internet/WAN erreichbar.

Ciao
Ulf


Bewertung: 167 Punkte bei 20 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 4 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...
Treiber für Canon Laserbase MF5650
Sven Bremer, 10.02.2015 09:46, 1 Antworten
Hallo ich weiß mittlerweile das Canon nicht der beste Drucker für ein Linux System ist. Trotzd...
Linux und W7 im Netz finden sich nicht
Oliver Zoffi, 06.02.2015 11:47, 3 Antworten
Hallo! Ich verwende 2 PCs, 1x mit W7prof 64 Bit und einmal mit Linux Mint 17 64 Bit, welches ich...
Rootpasswort
Jutta Naumann, 29.01.2015 09:14, 1 Antworten
Ich habe OpenSuse 13.2 installiert und leider nur das Systempasswort eingerichtet. Um Änderungen,...