Akamai 警告小心 IptabLes、 IptabLex 攻擊

雲端服務供應商 Akamai 旗下團隊最近發表報告,呼籲企業注意惑染 Linux 的惡意程式 IptabLes 和 IptabLex 。事實上兩者的出現已經不是最近的事了,有見及此筆者就順道介紹一下萬一被感染時的解決方法。20140905iptablex
藉 IptabLes 及 IptabLex ,惡意攻擊者可從沒有修補的 Linux 中的已知漏洞,發動 DDoS 攻擊,並透過 Apache Struts、Tomcat 及 Elasticsearch 的漏洞得以大規模地散播。攻擊者利用漏洞取得存取、升級權限,並遙距操控系統,再在系統中加入及運行惡意程式碼,最後使系統能夠成為 DDoS 殭屍網路中的一部份,被遙距操控。其中一個確認感染的指標是 /boot 目錄出現名為 .IptabLes 或 .IptabLex 的腳本,這些程式在系統啟動時,會自行啟用 .IptabLes,該惡意程式還會自我更新。現時 IptabLes 及 IptabLex 的控制中心位處亞洲,受感染的系統最初由亞洲開始,但愈來愈多近期的感染來自美國及其他地區的伺服器。過去大部分 DDoS 殭屍病毒感染源自俄羅斯,可是現時亞洲成了 DDoS 發展一個重要的源頭。

要預防 IptabLes 和 IptabLex 攻擊的方法很簡單,就是及時作出系統更新,不論系統是 Linux 還是 Windows,及時更新都是取佳對策(當然也有例外的),筆者知道的其中宗感染事故發生在2014年2月,受害者使用的系統竟是2006年發布的 ubuntu 6.06(截稿時最新版本是 ubuntu 14.04),可見根本是因為系統沒更新才「中招」。解決方法是删掉以下幾個檔案。
# rm -f /.mylisthb*
# rm -f /boot/IptabLex
# rm -f /boot/IptabLes
# rm -f /boot/.IptabLex
# rm -f /boot/.IptabLes

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *