Linux: Rootkit schnappt sich SSH-Service

26. Februar 2013, 11:02
7 Postings

Sicherheitsexperten warnen vor aktuellen Angriffen - SSH-Bibliotheken werden ausgetauscht

Das Internet Stormcenter warnt vor einer aktuellen Gefahr für Linux-Server:  So soll es in letzter Zeit vermehrt zu Angriffen gekommen sein, bei denen die libkeyutils des SSH-Services mit einer modifizierten Variante ausgetauscht wird.

Backdoor

Darin versteckt ein "Backdoor", das den AngreiferInnen einen Fernzugriff auf den betroffenen Rechner ermöglicht. Zudem protokolliert die modifizierte libkeyutils auch noch alle Passwörter mit, und verschickt diese an einen wohl unter der Kontrolle der AngreiferInnen stehenden Rechner.

Offene Fragen

Unklar ist derzeit noch, wie die AngreiferInnen eigentlich auf die betroffenen Systeme gekommen sind, also welche Sicherheitslücke für den ursprünglichen Einbruch genutzt wurde. Betroffen sind derzeit vor allem Systeme, die den Paketmanager rpm benutzen.

Check

Wer überprüfen will, ob der eigene Server betroffen ist, kann dies etwa indem die Checksumme der betroffenen Dateien korrekt ist, wie heise Security empfiehlt. Mit rpm funktioniert dies über "rpm -qfV /lib*/libkeyutils*", bei Debiansystemen lässt sich analog debsums nutzen. (red, derStandard.at, 26.02.13)

Share if you care.