Elke dag worden zo'n 20 sites bestookt met enorm krachtige DDoS-aanvallen, zegt Akamai Technologies. De naam XOR komt af van de gelijknamige versleuteling in zowel de malware als de netwerkcommunicatie tussen nodes en C&C's.

Om nieuwe bots binnen te halen worden Linux-machines aangevallen door zwakke wachtwoorden (admin, password, 123456) te kraken op de command shell. De rootpriviliges worden vervolgens gebruikt om een script te draaien die de malware binnenhaalt. Volgens de onderzoekers van Akamai zou Linux zelf geen exploit hebben die gebruikt wordt door de aanvallers.

Volgens Akamai is het een trendbreuk dat een botnet zich volledig richt op Linux-machines en geen Windows-bots probeert aan te maken. De kracht van het botnet groeit nu wel enorm, waarschuwen de onderzoekers. De aanval is moeilijk af te slaan doordat aanvallende bots ip-adressen spoofen.

Hieronder een voorbeeld van zo'n aanval van XOR.DDoS.