Limpninja: Neuer Trojaner baut Netzwerk für DDoS-Attacken

Laut vnunet.com [1] installierten Unbekannte auf einem Server, der unter der Linux-Distribution von RedHat läuft, einen Trojaner, dessen genaue Funktion noch unbekannt ist. Die Angreifer machten sich dabei eine seit Ende letzten Monat bekannte Sicherheitslücke im SSH1 Protokoll zunutze [2]. Das in der Unix-Welt stark verbreitete Protokoll wird für den verschlüsselten Zugriff auf Server zwecks Fernwartung verwendet.

Die Angreifer installierten auf dem RedHat-Server einen IRC (Internet Relay Chat) Server, welcher bereits mit über 120 anderen Linux-Systemen kommunizierte. Es wird vermutet, dass Personen, welche die Funktion des Trojaners kennen, so eine DDoS-Attacke auslösen können.

Eine DDoS-Attacke (distributed denial of service) legt Serverdienste oder den ganzen Server durch eine grosse Anzahl sinnloser Anfragen lahm. Im Gegensatz zu einer DoS-Attacke (denial of service) wird ein DDoS-Opfer von mehreren Computern gleichzeitig angegriffen.

Zum Namen Limpninja kam der Entdecker, William Saluski, da die Programmierer offenbar eine Affinität zur asiatischen Kampfkunst hegen: Der IRC Kommunikationskanal heisst "kujikiri", eine esoterische Lehrmethode der Ninjas. Der Hauptkanal wurde von den Hackern "ninehandscutting" getauft, womit eine bestimmte Handbewegung der Ninjas bezeichnet wird.

Unix-Administratoren wird dringend empfohlen, die SSH-Sicherheitslücke zu verschliessen.