Debido a la gran cantidad de servidores con Linux que hay en Azure es natural que Microsoft manifieste preocupación y es por éso que alertan han visto un aumento del 254% en la actividad en los últimos meses de XorDDoS, una red de máquinas Linux infectadas de aproximadamente ocho años que se utiliza para ataques de denegación de servicio distribuido (DDoS).

XorDdos lleva a cabo ataques automatizados de adivinación de contraseñas ―a través de ataques de fuerza bruta― en miles de servidores Linux para encontrar las credenciales de administrador coincidentes utilizadas en los servidores con SSH. Tras conseguir las credenciales, XorDDoS usa privilegios de root para instalarse en el sistema Linux y usa cifrado tipo XOR para comunicarse con la infraestructura de comando y control del atacante.

XorDDoS fue una de las familias de malware enfocadas en Linux con más actividad durante 2021 y se ha beneficiado del crecimiento de los dispositivos de Internet de las cosas (IoT), que en su mayoría se ejecutan en variantes de Linux, pero también se ha dirigido a los clústeres de Docker mal configurados en los servicios de nube.

¿Cómo prevenir el problema en un servidor Linux? Simple: evitar usar contraseñas malas, utilizar un puerto distinto al 22 para el servicio de SSH y mantener el sistema actualizado con todos sus correspondientes parches de seguridad. instalar y configurar Fail2Ban es la mejor forma de prevenir los ataques de fuerza bruta. Fail2ban se utiliza para supervisar las actividades en el servicio SSH y bloquear automáticamente los intentos de acceso fallidos.

Fuentes: ZDnet y Micorosft Security.