CDN服务商Akamai警告Linux主机成为DDoS攻击僵尸网络

　　著名CDN服务商昨天Akamai发出警告，黑客利用入侵的Linux服务器感染IptabLes及IptabLex病毒，使之成为僵尸网络并对娱乐业企业发动DDoS攻击。

　　Akamai安全负责人称：

　　「在Linux系统内受IptabLes及IptabLex感染的恶意软件中，我们追查到2014年其中一宗最大型的DDoS攻击行动。这可以说是网络安全发展的一大变化，因为过去Linux系统往往不会用于DDoS僵尸网络中。恶意攻击者可从没有修补的Linux软件中的已知漏洞发动DDoS攻击。Linux管理员需要了解这些威胁，并作出相应举动，才能保护他们的服务器。」

　　僵尸网络是如何形成的

　　透过Apache Struts、Tomcat及Elasticsearch的漏洞，IptabLes及IptabLex得以大规模地在Linux服务器广泛散播。攻击者利用Linux未被修复的服务器漏洞取得存取、升级权限，并遥距操控机器，再在系统中加入及运行恶意编码。最后，使系统能够成为DDoS僵尸网络中的一部份，被遥距操控。

　　其中一个确认感染的指标是/boot目录内名为.IptabLes或.IptabLex的负载，这些程式在重新启动时会运行二元档案.IptabLes。该恶意软件还包含自我更新功能，受感染的系统会联络远端主机下载档案。在实验中，受感染的系统曾尝试联络两个位于亚洲的IP位址。

　　现在，IptabLes及IptabLex的指令及控制中心位处亚洲。受感染的系统最初是由亚洲开始，但愈来愈多近期的感染是来自美国及其他地区的服务器。于过去，大部分DDoS僵尸病毒感染源自俄罗斯，可现在亚洲成了DDoS发展一个重要的源头。

　　一些信息

　　1、Akamai安全工程师及研究小组发现了DDoS攻击是由IptabLes IptabLex僵尸网络驱动的

　　2、这些僵尸机器人使用了明显的攻击负载，如DNS攻击和SYN Flood攻击

　　3、攻击流量达到119Gbps带宽，110 Mpps

　　4、恶意程序中两个硬编码的回传IP地址来自中国

　　5、恶意程序只运行于Linux系统，所有的二进制程序和漏洞利用程序没有外界依赖