Bot-Netz legt Pizza-Dienste lahm

Das sogenannte "Miner-Bot-Netz" hat nachgelegt und kann jetzt nicht nur Bitcoins (elektronisches Geld) erzeugen, sondern auch Webseiten gezielt lahmlegen.

Das vorrangige Ziel sind Pizza- und Immobilien-Portale - hauptsächlich in Deutschland. Das Bot-Netz kommuniziert nicht nur über einen Server, sondern über ein verteiltes Peer-to-Peer-Netz. Hier kann jede Einheit befehle vergeben, deshalb ist es schwer zu kontrollieren.

Ein Experte von Kapersky fand heraus, dass die von Bot-Netz infizierten Rechner, kürzlich eine neue Datei namens "ddhttp.exe" nachluden. Bei einer näheren Analyse stellte er fest: Nun kann man HTTP-Flooding-Angriffe ausführen. Dabei wird eine Webseite mit Anfragen überhäuft, bis der Server zusammenbricht. Das Programm lädt aus dem Bot-Netz "Pläne" nach, auf denen steht, was das nächste Ziel ist. Kurz nach der ersten Datei wurde eine zweite an die verseuchten PCs verschickt. Ab jetzt konnte man eine UDP-Flooding-Attacke ausüben. Die Liste der Opfer ist interessant: Es handelt sich um Dienstleister, die Lösungen zur DDoS-Abwehr, anbieten.

Viele Angreifer

Ein beliebtes Portal ist auch unter den Geschädigten: pizza.de.
Das Unternehmen war einer 3-stündigen Attackierung durch das Miner-Bot-Netz ausgeliefert. Man zählte einen Zugriff von rund 50.000 IP-Adressen. Diese übten etwa 20-30.000 Anfragen pro Sekunde aus.

Zwischendurch wurden alle Angriffe ausgesetzt. Am Abend des Donnerstags soll die DDos-Attacke weitergegangen sein.

In den Log-Dateien kann man ziemlich leicht erkennen, ob die anfragende IP real ist - viele unechte haben als Sprache "ru" (Russland) eingestellt. In der Anzahl der Opfer hat sich nicht viel verändert: Einer kam hinzu.

Härtere Maßnahmen

Viele greifen nun zu härteren Maßnahmen und filtern mit einem Router, der vor dem eigentlichen Server liegt, alle IP-Adressen heraus, die nicht aus Deutschland kommen.