Discover Top Posts Tagged with #botnetz

Popular Recent

31.5.2017

Hackerschauer über meinem Server

Ich sitze im Homeoffice und ärgere mich über mein andauernd brummendes Privathandy. Es kommen haufenweise Mails.

Mails von einem Wachhund, der meinen Webserver überwacht.

Server is down.

Server is up again.

Server is down.

Seit 22:00 Uhr gestern Abend. Im Minutenrhythmus.

Ich rufe mein Blog auf – connection rejected. Der Server mag mich nicht. Ich refreshe die Seite, nach endlosen 40 Sekunden ist sie aufgebaut.

Das sieht nicht gut aus.

Die Admin-Weboberfläche funktioniert halbwegs, nur ist dauernd die Datenbank abgestürzt, die auf dem Server läuft.

Kein Hauptspeicher verfügbar. Eingeloggt bin ich, hab aber kein Programm, um Befehle abzusetzen.

Noch ein Versuch. Nach fünf oder sechs Minuten bin ich eingeloggt und handlungsfähig. Die Hauptlast auf dem Server stammt überraschenderweise von einem Dienst namens fail2ban, der nach fünf fehlerhaften Passworteingaben von derselben Netzwerkadresse diese für 24 Stunden komplett aussperrt.

Man sieht ihn normalerweise nicht.

Ich boote den Server neu (Boot tut gut, wie man so sagt) und nach weniger als fünf Minuten ist der Zustand wieder derselbe. Sogar eine Nuance schlimmer, ich komme nämlich gar nicht mehr per Shell rein.

Ich rufe den Support des Providers an. Mein Server ist virtuell und bekommt bestimmte Ressourcen zugeteilt: 8 GB Hauptspeicher sind mir vertraglich garantiert, einige zehntausend Netzwerksessions auch.

Seit dem Reboot vor inzwischen 20 Minuten hätte der Server schon 50.000 Überschreitungen der Anzahl der Netzwerksessions protokolliert und ungefähr genauso viele komplette Speicherauslastungen.

Ofenbar werde ich angegriffen. Nicht die üblichen zwei bis drei Loginversuche pro Minute, sondern was Großes.

fail2ban schickt mir für jede gesperrte Netzwerkadresse eine Mail. Normalerweise eine alle drei bis fünf Minuten, derzeit eher drei bis fünf pro Minute, und die Loginversuche kommen so schnell, dass die Sperrung laut Mail nicht mehr nach fünf Fehleingaben des Passwortes erfolgt, sondern in einigen Fällen erst nach über 300.

Der Login hat inzwischen wieder funktioniert.

Mit dem Befehl netstat versuche ich, mir die aktuellen Netzverbindungen anzeigen zu lassen. Das Speicherproblem hindert mich daran. Ich versuche es immer weiter.

Nach einer Weile klappt es und ich sehe deutlich über hundert Sessions von einem Server, der eine Domainadresse in Liechtenstein hat. Über nic.li, den dortigen Registraturdienst, frage ich den Inhaber ab.

Es ist ein Mann aus Dresden, für den Google mir sogar eine Handynummer liefert.

Ich entschließe mich spontan, ihn anzurufen.

“Sie sind der Inhaber der Domain xyz.li, sagt das Internet.”

“Äh, ja, wieso?”

“Ihr Server neu.xyz.li hat derzeit weit über hundert Sessions auf meinem Server.”

“Das ist doch nur so eine virtuelle Maschine, die hier irgendwie mitläuft.”

Er sieht keine Sessions, aber ich beweise ihm, dass sie da sind. Er fährt den Server runter und sperrt die Zugriffe aus seinem Netz auf meinen Server.

Ich muss nun ins Büro. Dort angekommen deaktiviere ich noch schnell alle Domains, die nicht wirklich gebraucht werden, und will mich abends weiter kümmern.

Abends ist alles wieder ok. Keine übermäßigen Zugriffe. Ich modifiziere die Firewall und mache sie zu einem nervigen Türsteher, der Logins verzögert. Dadurch wird die Last bei zukünftigen Loginstürmen gedeckelt.

Wurde ich gezielt angegriffen? Ich hatte am Vortag auf Twitter eine kleine Diskussion mit Besorgten Bürgern, und ein Serverbetreiber aus Dresden – man weiß ja nie!

Wahrscheinlich war sein Server aber nur von Malware befallen und Teil eines Botnetzes geworden, das auf meinen Server angesetzt war. Alleine kann er das jedenfalls nicht verursacht haben.

Ob das Botnetz meinen Server nun aus Rache aufs Korn genommen hatte oder man so verschiedene Server abgeklappert hat in der Hoffnung, diese während der Überlastung durch Systemfehler übernehmen zu können, werde ich wohl nie erfahren.

Das ganze erinnert mich an einen Hagelsturm. Es ist lästig und es kann dabei auch was kaputtgehen, aber man kann kaum was dagegen machen und muss halt eine Weile rechts ran fahren, bis es vorbei ist.

(Volker König)

#Server #Firewall #SSH #Login #Hacker #Botnetz #Volker König #best of

DDoS - Gefahr für Ihre Firma

DDoS – Gefahr für Ihre Firma

Was bedeutet „DDoS“?

Ein DDoS-Angriff ist eine spezielle Art der Cyber-Kriminalität. Der Distributed-Denial-of-Service (DDoS) ist eine Dienstblockade bei Programmen, die auf das Internet angewiesen sind. Diese liegt vor, wenn ein angefragter Dienst nicht mehr bzw. nur noch stark eingeschränkt verfügbar ist. Beispielsweise ein Anmeldeserver. Eine Anmeldung bei Facebook ist kein Problem,…

View On WordPress

#Botnetz #Cyber-Kriminalität #DDoS #IT-Security #Security

Botnetz Mirai beschränkt sich nicht mehr nur auf IoT-Geräte

Illustration: Absmeier, Avast Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von ASERT, ein Team aus Sicherheitsspezialisten des Unternehmens NETSCOUT Arbor. Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das Big-Data-Anwendungen verarbeitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich. Die entdeckte Schwachstelle in Hadoop Yarn ermöglicht es den Angreifern, beliebige Shell-Befehle auszuführen und darüber Malware zu installieren. Dies sind Varianten der Mirai-Malware, die ursprünglich dafür entwickelt wurden, um Geräte im Internet of Things – wie zum Beispiel IP-Kameras und digitale Videorekorder – zu manipulieren. Da diese Art der Infizierung inzwischen in den Fokus der Öffentlichkeit gelangt ist und daher Schutzmaßnahmen besser werden, entwickelten die Cyberkriminellen nun die x86-Version. Anstatt sich darauf zu verlassen, dass sich Bots selbstständig verbreiten, steuern die Angreifer die die Verbreitung des Exploits nun selbst. Eine relativ kleine Anzahl von Angreifern verwendet dazu eigens programmierte Tools, um die Hadoop-YARN-Schwachstelle zu erkennen und dann die Linux-Malware zu verbreiten. Die Vorteile einer solchen Anpassung liegen für die Angreifer auf der Hand: Verglichen mit IoT-Geräten haben Linux-Server in privaten Netzwerken deutlich mehr Bandbreite. Dies macht sie zu wesentlich effizienteren DDoS-Bots. Daher kann schon eine Handvoll gut ausgestatteter Linux-Server Angriffe erzeugen, die einem IoT-Botnetz mit deutlich mehr Geräten Konkurrenz macht. Für die Angreifer ist es zudem deutlich einfacher, die x86-Monokultur von Linux-Servern anzugreifen als die breite Auswahl an CPU-Derivaten, die in IoT-Geräten verwendet werden. Das Ziel der, bisher noch eher kleinen, Hacker-Gruppe ist klar: die Malware auf möglichst vielen Geräten zu verbreiten. Und aufgrund der Leistungsfähigkeit der Server lauert hier ein enormes Gefahrenpotenzial. https://www.netscout.com/arbor-ddos

Sieben neue Varianten von Mirai

Durch das Botnetz Mirai wurden im September 2016 große Unternehmen wie Twitter, CNN und Spotify beim größten DDoS-Angriff der Geschichte vom Netz genommen. Damals erwartete noch niemand, dass durch den Zusammenschluss einer Vielzahl von Internet of Things (IoT)-Geräten zu einem Botnetz ein solch massiver Angriff gestartet werden könnte. Das Threat Intelligence Team von Avast hat nun sieben neue Varianten von Mirai analysiert und untersucht, wer dahinterstecken könnte. Die Ergebnisse zeigen, dass der Cyberkriminelle, der wohl für diese Angriffe verantwortlich ist, die Botnetze als eine Art Service vermietet. Die Änderung des Mirai-Codes zur Erstellung und Verbreitung einer neuen Botnetz-Version ist relativ einfach und obwohl die Analyse zeigt, dass wohl ein relativ unerfahrenes Scriptkiddie hinter diesen sieben neuen Mirai-Versionen steckt, so besteht dennoch ein hohes Gefahrenpotenzial. Neue Botnetz-Varianten nach Veröffentlichung des Mirai-Quellcodes Nachdem es ihm gelungen war, einen Großteil des Internets lahmzulegen, veröffentlichte der Autor von Mirai, der sich selbst »Anna-Senpai« nennt, den Quellcode. Der Mirai-Code wurde schnell zu einer Art Vorlage und jeder, der eine weitere Möglichkeit sieht, die Schwachstellen neuer Geräte auszunutzen, kann diesen Code übernehmen und so eine neue Botnetz-Variante erstellen. Im Sommer 2018 veröffentlichte der Twitter-Nutzer @400kQBOT einen Link mit dem Quellcode von sieben neuen Mirai-Varianten, woraufhin das Avast Threat Intelligence Team damit begann, deren Ursprung zu untersuchen. Die Analysen des Teams führten zu der Annahme, dass ein Cykrimineller, der sich Scarface#1162 nannte, hinter den sieben Botnetz-Varianten stecken könnte und den Zugriff auf die Botnetze als eine Art Dienstleistung vermarktet, die er dann auf YouTube und Twitter anbietet. Die Annahme des Teams, dass es sich bei 400kQbot und Scarface um dieselbe Person handelte, wurde Mitte September bestätigt, nachdem sich dieser in einem Tweet aus dem 400kQBot-Handle selbst entlarvte. Tiefgehende Analyse der Mirai-Versionen Bei näherer Betrachtung der sieben neuen Mirai-Varianten fand das Avast Threat Intelligence Team heraus, dass sich diese durch die von ihnen verwendete Passwortliste für Brute-Force-Angriffe auf unsichere IoT-Geräte in den dabei ausgewählten Ports und in der Architektur von der Originalversion unterschieden: Kombinationen der Zugangsdaten: Für die Kombinationen der Zugangsdaten verwendete der ursprüngliche Mirai-Code eine Liste von 62 hardcodierten Passwörtern für Brute-Force-Angriffe auf schlecht gesicherte IoT-Geräte. Bei der Analyse der Varianten entdeckte das Avast-Team, dass sich diese Passwortliste mit jedem Bot änderte. Das Team konnte jedes der von den einzelnen Varianten verwendeten Passwörter erfassen und entschlüsseln. Avast wollte herausfinden, ob die Passwortliste aus dem Mirai-Code stammt und ob es Überlappungen gibt. Die umfangreichste Passwortliste wird in der Saikin-Variante verwendet, die 80 Passwörter enthält, von denen sich nur vier mit dem ursprünglichen Mirai-Code decken. Mit der Entscheidung zur Implementierung verschiedener Passwortlisten visieren die Angreifer vermutlich eine größere Anzahl von IoT-Geräten an. Neue Ports: Wie auch Mirai besitzen alle Varianten ein Modul »killer.c«, das verschiedenen Zwecken dient. Zuerst beseitigt es andere Malware, die möglicherweise bereits auf dem betroffenen Gerät ausgeführt wird. Zweitens verhindert es, dass Dritte Fernzugriff auf das Gerät per Telnet, SSH oder HTTP erhalten. Die Analyse offenbart, dass fünf der sieben Varianten (alle außer Saikin und Josho_V3) neben den Kill-Ports von Mirai neue protokoll- beziehungsweise gerätespezifische Ports in die Kill-Listen aufgenommen hatten. Die Aufnahme dieser Ports sollte es dem Autor des Botnetzes ermöglichen, sich mit mehreren Geräten zu verbinden und gleichzeitig Dritten den Fernzugriff auf diese Geräte unmöglich zu machen. Neue Architekturen: Alle vom Threat Intelligence Team untersuchten Mirai-Varianten zielen auf dieselben Architekturen ab wie Mirai. Nur drei – Sora, Saikin und Akiru – haben zwei neue Architekturen hinzugefügt: ARC (Argonaut RISC Core) und RCE (Motorola RCE) Das Threat Intelligence Team erklärt: »Unsere Analyse zeigt, dass sich die neuen Varianten zwar nicht maßgeblich vom originalen Mirai-Sourcecode unterscheiden, sie aber dennoch großen Schaden anrichten könnten. Sie zielen im Vergleich zum ursprünglichen Mirai-Botnetz auf eine größere Zahl und auf weitere Kategorien von IoT-Geräten ab, indem sie die für Brute-Force-Angriffe verwendeten Passwortlisten variieren und neue Ports als Ziele hinzufügen. Je mehr Botnetz-Varianten im Umlauf sind, desto größer der potenzielle Schaden, der entstehen kann. Für Nutzer bedeutet dies, dass die Bedrohung real ist: Wenn Geräte im Haushalt, wie z. B. ein Babyphon oder ein Router, einem Angriff zum Opfer fallen, dann kann der Cyberkriminelle auch auf die anderen vernetzten Geräte in der Wohnung zugreifen. Nutzer sollten die Standard-Passwörter ihrer IoT-Geräte durch komplexe eigene Passwörter ersetzen und darauf achten, die Firmware zu aktualisieren, sobald neue Versionen verfügbar sind.« Avast empfiehlt die folgenden Schritte zum Schutz von IoT-Geräten und Smart Homes: Ändern Sie bei der Einrichtung von vernetzten Geräten das Standardpasswort des Routers und der IoT-Geräte. Halten Sie die Geräte mit Firmware-Updates stets auf dem neuesten Stand. Deaktivieren Sie die Remote-Verwaltung in den Router-Einstellungen. Wenn Sie unsicher sind, ob das Gerät infiziert wurde, ziehen Sie ein Zurücksetzen auf Werkseinstellungen in Betracht und beginnen Sie ggf. wieder mit Schritt 1. Einen Vergleich und eine Analyse der Varianten einschließlich deren Namen, Kombinationen von Zugangsdaten, Ports, Architekturen und Details zu der Annahme, dass ein Scriptkiddie hinter den Varianten stecken könnte, finden Sie im Avast-Blog: https://blog.avast.com/hacker-creates-seven-new-variants-of-the-mirai-botnet https://ap-verlag.de/ddos-angriff-kann-unternehmen-millionen-kosten/41452/ https://ap-verlag.de/iot-sicherheit-willkommen-im-botnet/48134/ https://ap-verlag.de/smart-home-nur-geraete-mit-datenschutzerklaerung-kaufen/45229/ https://ap-verlag.de/ransomware-der-dinge-das-iot-geraet-als-geisel/44924/ https://ap-verlag.de/cyberkriminelle-koennen-mit-gekaperten-iot-geraeten-eine-armee-zum-schuerfen-von-kryptowaehrungen-erschaffen/41487/ https://ap-verlag.de/cyberkriminelle-vs-abwehrtechnologien-zehn-security-trends/40762/ https://ap-verlag.de/ungeschuetzte-smart-homes-sind-eine-einladung-fuer-hacker/31321/ Read the full article

#Botnetz #IoT-Geräte #Linux-Server #Mirai #HadoopYarn

#Botnetz #Durch #Experten #MiraiNachfolger #Neues #QuotCyberHurricanquot #Vor #Warnen #ReviewsAndNews

Mirai-Nachfolger: Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

NSA-Geräte von Netgear werden von dem neuen Botnetz ebenfalls angegriffen. (Skizze: Netgear)#gheadimg display:none #gheadxfr overflow:hidden Kriminelle nutzen Sicherheitslücken in IoT-Geräten zum Gliederung eines großen Botnetzes aus. Hier verwendet jener Bot...

Read More on http://dietech-welt.com/mirai-nachfolger-experten-warnen-vor-cyber-hurrican-durch-neues-botnetz/

#Botnetz #durch #Experten #MiraiNachfolger #neues #quotCyberHurricanquot #vor #warnen #Reviews And News

Cyber-Attacken: Türkischer Nationalist entlarvt

Contra-Mag.:In Österreich gab es Cyber-Attacken auf Nationalbank, Flughafen Wien, Außen- und Verteidigungsministerium und den Nationalrat. Dahinter standen jedoch nicht die Russen, sondern ein türkischer Nationalist. Von Marco Maier Weil Österreich eine "türkeifeindliche" Haltung habe, startete ein in den USA lebender türkischer Nationalist Cyber-Attacken auf die Nationalbank, den Flughafen Wien, das Außen- und Verteidigungsministerium, sowie auf ... http://dlvr.it/NVRPL1

#Internet & Technik #Wissen & Technik #Außenministerium #Botnetz #DDos

.... oder ob ein Sack Reis umfällt!

…. oder ob ein Sack Reis umfällt!

Wenn Sie heute etwas im Internet posten, dann kann es weltweit u.U. von Milliarden gelesen werden, die aber ihrerseits auch wieder posten. So ist ein Post im Web oft weniger wert, als ein Flohpüpschen. Deshalb müssen auch Produkte, die im Web angeboten werden, beworben werden. Zahlreiche Marketingfirmen haben sich darauf spezialisiert, sich für gutes Geld die Finger wund zu posten, um eine…

View On WordPress

#Botnetz #Bots #Hasspropaganda #Hetze

BSI die zweite!

Um den BSI wird es nicht still. Jetzt kam ans Licht das der BSI seit mindestens Dezember 2013 von den geklauten Accounts wusste. Der BSI reagierte auf die nachfrage warum Sie erst jetzt damit rauskämen damit das Sie einen Datenschutz gerechten Test entwickeln mussten der gleichzeitig den Anfragen stand hält seine eMail zu überprüfen.

Das hat ja mal so gar nicht geklappt. Die Seite war und ist teilweise nur schwer oder gar nicht zu erreichen. Weiterhin finde ich es eine Schmach das der BSI nicht eine Information dazu preisgibt woher diese Daten stammen.

Leider kann man sich da nicht sicher sein ob das alles seine Richtigkeit hat oder ob es wirklich nur eine groß angelegte eMail Phishing Aktion des BSI ist.

#BSI #Botnetz