Rund hunderttausend Router soll Psybot unter seine Kontrolle gebracht und zu einem Bot-Netz zusammengeschlossen haben. Das berichtet der Betreiber der Web-Site DroneBL, der nach eigenen Aussagen Ziel von DDoS-

Angriffen dieses Bot-Netzes wurde.

Ein Bot-Netz, das vor allem aus Routern besteht, fällt aus dem Rahmen. Normalerweise werden vor allem PCs mit Windows versklavt, um als Zombies zu dienen. Psybot hat sich hingegen anscheinend auf kleine Netzwerk-Router für Heimanwender spezialisiert, auf denen ein Embedded Linux für MIPS-CPUs läuft.

Laut einer Beschreibung von Terry Baume steht vor allem der Netcomm NB5 auf der Liste der bevorzugten Ziele. In einer älteren Version des DSL-Modems mit Router-Funktion war dort laut Baume unter anderem das Web-Interface und ein SSH-Zugang aus dem Internet erreichbar – und das auch noch ohne Passwort. Das wurde zwar mit einem späteren Firmware-Update behoben, aber ob das dann wirklich überall eingespielt wurde, ist fraglich.

Einmal im System, lud der Bot eine Datei namens udhcpc.env nach /var/tmp und startete sie. Bei dem Programm handelt es sich um ein MIPSel-Binary für Linux; der Name lehnt sich an die auf Embedded-Systemen oft eingesetzte DHCP-Software udhcp an. Psybot konnte dann auch nach Systemen mit speziellen verwundbaren Versionen von phpMyAdmin und MySQL suchen, um diese zu kapern.

Mittlerweile hat der Bot-Netz-Betreiber nach eigenen Aussagen seine Aktivitäten eingestellt – jedenfalls behauptet er das in der Status-Meldung des IRC-Channels, über den die Bots kontrolliert wurden. Nach eigenen Aussagen hatte er 80.000 Systeme unter seiner Kontrolle; DroneBL schätzte sogar hunderttausend. Auch wenn diese Angaben mit Vorsicht zu genießen sind, zeigt Psybot doch, dass das Problem von Bot-Netzen keineswegs nur auf Windows beschränkt ist. Und die Mehrzahl der betroffenen Anwender wird einen solchen Befall nie bemerken.

 Quelle: Heise.de