Das erste (?) Linux-Botnet

Durch einen Artikel auf Linuxdevices.com bin ich auf eine kurze Reportage zu einem Linux-Botnet aus “geknackten” Kabel- und DSL-Routern gestoßen: Larry Seltzer berichtet in der eWeek von einem Psyb0t getauften Netz, das ausschließlich aus DSL- und Kabelroutern der MIPSEL-Architektur basiert.

Betroffen sind offensichtlich Router mit schwachen Administrationspasswörtern, bei denen teilweise das Administrationsfrontend auf der WAN-Seite zugänglich war. Offenbar fand keine Modifikation des persistenten Speichers statt, so dass ein harter Reset genügt, um dem Spuk ein Ende zu bereiten — das Botnet soll abgeschaltet sein und keine weiteren Router identifizieren. Mit Routern wie der FRITZ!Box hätten die Botnet-Programmierer die Möglichkeit gehabt, durch ein paar Zeilen in der /var/flash/debug.cfg die Änderungen zu speichern.

Angesichts der weiter steigenden Fähigkeiten moderner DSL-Router, die als Datenablage im Heimnetz dienen und mittlerweile moderate Rechenleistung bereitstellen, entsteht ein interessantes Bedrohungsszenario, bei dem gehackte Boxen den Datenverkehr belauschen, Mail- oder Login-Passwörter für Shoppingportale über unverschlüsselte Verbindungen abhören oder Spam verschicken — einzelne Spam-Mails, Listen mit Mailadressen und einen SMTP-Client für den Versand, der auch mit Queueing auf Greylisting reagiert, lassen sich in wenigen hundert kB unterbringen.

Seltzer behauptet, dass der Hauptgrund dafür, dass es keine Botnets für Linux-Desktops gibt, darin liegt, dass der durchschnittliche Nutzer erfahrener als sein Windows-Kollege ist. Dem kann ich mich weitgehend anschließen. Nicht ganz d’accord bin ich mit der Behauptung, dass es sich um das erste Linux-Botnet handelt: Viele schlecht gewartete und anschließend “aufgemachte” Linux-Rootserver, die zum Spam-Versand oder für Wörterbuch-Passwort-Attacken missbraucht werden, weisen Botnet-Charakter auf — auch wenn es sich meist nur um Dutzende bis wenige Hundert beteiligte Rechner handeln dürfte und nicht um eine sechsstellige Zahl wie im vorliegenden Fall.

4 thoughts on “Das erste (?) Linux-Botnet

  1. burli

    > …entsteht ein interessantes Bedrohungsszenario…

    interessant ist glaube ich eine unpassende Beschreibung dafür.

    Ich bin schon lange der Ansicht, das Linux alles andere als sicher ist. Das Sicherheitskonzept ist teilweise recht veraltet weil es noch aus den Anfangszeiten von Unix stammt. Z.B. das es nur drei “Sicherheitsstufen” für Dateien gibt, lesen, schreiben und ausführen. SELinux und AppArmor versuchen das zwar zu kompensieren, aber ich denke nicht, das es viel an der grundlegenden Struktur ändert.

    Die wesentlichen Gründe dafür, das es so wenig Schadsoftware gibt, liegen eher in der geringen Verbreitung und im besseren technischen Verständnisses der Linuxuser. Hätte Linux die gleichen Nutzer wie Windows, also die Sorte, die alles anklicken, nur um ihre Ruhe zu haben, und wäre es genauso weit verbreitet wie Windows, gäbe es glaube ich deutlich mehr Schadsoftware.

  2. stfischr

    Nun wie ich das verstehe, waren die Dinger ohne Passwort mit Webinterface übers Internet zu erreichen, was bitte hat das mit der Sicherheit von Linux zu tuen, dass sagt doch nur, dass da nen paar Vollidioten die Software für den Rooter zusammengeschmissen haben. Wenn man will kriegt man jedes Linux unsicher, aber eigentlich sollte man ja grundsätzliche Sicherheitsüberlegungen durchführen, bevor man nen Rooter baut.

    @burli: Gibt es ein konkretes Angriffsszenario das deine Bedenken zu den Dateirechten rechtfertigt? Nur so aus Interesse, etwas komfortablere Rechtevergabe fände ich auch nicht schlecht, aber nicht aus Sicherheitsgründen.

  3. tzm

    @stfischr,burli:
    Ist doch klar, je mehr Sicherheitsstufen es gibt, desto besser.
    Wie bei Java: je mehr Objekte man implementiert, desto besser wird der Code ;-)
    Kann ja nur gut werden …

  4. tzm

    @burli:
    Dein Kommentar ist ja wirklich völliger Quatsch.
    Lesen, Schreiben und Ausführen sind nur ein Teile des Rechtesystems in Linux, das sind auch keine “Sicherheitsstufen”, sondern nur die Zugriffsrechte, und die werden für User, Groups oder Alle vergeben. Mehr Zugriffsrechte wären auch völlig überflüssig. Was sollte man auch sonst erlauben? “Lesen, aber nur bis zur Hälfte”, “Ausführen, aber erst nach OK klicken”?
    Ein Unterschied zu Windows ist übrigens, daß Unix/Linux von Anfang an als Multi-User OS konzipiert war und daher schon immer eine funktioniernde Rechte-Struktur Teil des Kernsystems sein mußte. Windows-Sicherheitsfeatures sind dagegen oft erst später zum bestehenden (und übrigens teilweise auch jahrzehntealten) Code dazugebastelt worden.

Comments are closed.