26.02.2013
Sicherheit
Ausgefeiltes Rootkit greift Linux-Server an
Autor: Thorsten Eggeling
Zahlreiche Linux-Server sind offenbar mit einem neuen Rootkit infiziert. Es liest Schlüssel und Passwörter aus und verteilt massenhaft Spam. Bislang gibt es noch kein Update, sondern nur Notlösungen.
Derzeit kursiert im Internet ein neues Rootkit mit der Bezeichung SSHD-Spam-Exploit. Es zielt auf Linux-Server ab, auf denen Red-Hat-basierte 64- und 32-Bit-Linux-Systeme wie CentOS oder Cloudlinux laufen. Aber auch Archlinux oder Debian sollen betroffen sein. Hat sich das Rootkit erst einmal in einem Server eingenistet, verteilt es von dort aus massenhaft Spam-E-Mails. Darüber hinaus liest es die Passwörter betroffener Systeme aus und schickt die jeweiligen SSH-Schlüssel sowie die Passwortdatei /etc/shadow über eine SSH-Verbindung an einen Server in Moskau. Laut Beiträgen auf webhostingtalk installiert sich das Rootkit als Bibliothek unter /lib64/libkeyutils.so.1.9 oder /lib/libkeyutils.so.1.9 und setzt einen Link von libkeyutils.so.1 auf die Datei.
Über die genauen Verbreitungswege des Rootkits ist bislang noch nichts bekannt. Nutzer berichten allerdings von lokalen Angriffen über einen Keylogger. Dieser liest über eine geöffnete Administrations-Shell die Login-Daten eines Client-Rechners aus und schickt diese über den Port 53/UDP an den Server der Kriminellen. Es soll aber auch Angriffe aus der Ferne gegeben haben. Laut Beschreibungen von Opfern wurden dafür unterschiedliche Sicherheitslücken im Mailserver Exim, in der Ptrace-Funktion des Linux-Kernels oder im SSH-Daemon ausgenutzt.
So schützen Sie sich
Einige Anti-Malware-Scanner für Linux, etwa der von AVG, sind inzwischen in der Lage die schädlichen Dateien an ihrer Signatur zu erkennen. Eine Infektion lässt sich schnell aufdecken, indem Sie unter /lib beziehungsweise /lib64 nach der Datei libkeyutils.so.1.9 suchen und diese löschen.
Damit ist die Gefahr jedoch nicht gebannt, weil die ursächliche Sicherheitslücke wahrscheinlich noch vorhanden ist. Bis es ein Sicherheitsupdate gibt, sollten Sie daher den SSH-Server vor Fremdzugriffen schützen, etwa indem Sie den Zugang per Firewall oder Iptables nur von Ihrer eigenen IP-Adresse aus erlauben. Danach sollten Sie alle Passwörter auf dem Server neu setzen.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>