In einer aktuellen Aussendung warnt das US-amerikanische Computer Emergency Response Team (US-CERT) vor wachsenden Angriffen auf Linux-Server, bei denen ein neues Rootkit installiert wird. Schon Anfang August hatte das Computernotfallteam des Deutschen Forschungsnetzes (DFN-CERT) eine entsprechende Warnung herausgegeben.

Gestohlene SSH-Schlüssel

Von den Angriffen sind Linux-Server, bei denen das Rootkit Phalanx2 installiert wird, betroffen, so die SicherheitsexpertInnen. Über gestohlene SSH-Schlüssel können AngreiferInnen Zugriff auf Systeme erlangen. Über entsprechende Kernel-Exploits erlangen die AngreiferInnen in weiterer Folge Root-Rechte und können so die neue Version des Phalanx-Rootkits installieren.

Rootkit identifizieren

In der Sicherheitswarnung zeigt das US-CERT wie AdministratorInnen das Rootkit identifizieren können. AdministratorInnen sollen ihre Systeme, auf denen SSH-Schlüssel als Teil automatisierter Prozesse verwendet werden, überprüfen, so das Notfallteam. Wenn ein kompromittiertes System entdeckt wird, sollen Schlüsselauthentifizierungen möglichst deaktiviert und stattdessen Passwörter verwendet werden. Außerdem rät das US-CERT, sämtliche SSH-Schlüssel auf diesen Systemen zu überprüfen.(red)