Fælt rootkit rammer Linux-servere

28. februar 2013 kl. 12:229
Et meget diskret stykke malware hærger nu RPM-baserede Linux-servere. Rootkittet kobler sig på SSH-funktionen og stjæler passwords.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Bruger du SSHD-funktionen på servere med en RPM-baseret Linux-distribution, skal du tjekke, om du er blevet ramt af et nyt, meget listigt rootkit.

Sådan lyder rådet fra den danske it-sikkerhedstjeneste DK-CERT, efter at rootkittet er blevet opdaget af amerikanske it-sikkerhedsfolk hos SANS Internet Storm Center.

Målet for rootkittet er SSH Daemon (SSHD), som bliver brugt til at kommunikere sikkert med andre computere via internettet. Her gemmer rootkittet sig og infiltrerer autentifikations-proceduren. Dermed kan malwaren opsnappe brugernavne og passwords, som så automatisk bliver sendt tilbage til hackerne, uden at efterlade sig spor i form af logs, skriver Storm Center.

Den samlede bedømmelse af malwaren er ’meget, meget fæl’. Men der er forskellige måder at kontrollere, om man er blevet ramt. Enten kan man tjekke, hvad der kører i computerens hukommelse, for er man ramt af rootkittet, vil SSH-processen optræde på listen, hvad den normalt ikke ville gøre.

Artiklen fortsætter efter annoncen

Hukommelseskigget kan ske med denne kommando: # ipcs –m

Er der tegn på unormal adfærd, kræver det flere undersøgelser af computeren. Dem kan du læse om hos Storm Center.

Hvordan rootkittet kommer indenfor i første omgang er i øvrigt ikke opklaret.

add
add
9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
Steen Poulsen
2. marts 2013 kl. 13:15

Nu kan jeg ikke verificere det endnu, men jeg har for 14 dage siden skiftet en server fra ubuntu server 64, til en debian server 64, samt samt en smoothwall, netop fordi, min system var mærkeligt, uden jeg kunne finde en årsag - netBIOS, samba og tcp/ip no buffer availabe på windows xp'er. Og da Det havde kørt en dags tid var der mange ssh port 22 adgangsforsøg, netop fra en 74.... Ip adresse, så jeg skal hjem og se om den ubuntu er ramt ! Så jeg er meget bekymret.

  • more_vert
    • insert_linkKopier link
8
Povl H. Pedersen
1. marts 2013 kl. 10:46

Angrebsvektoren er stadig usikker. Det har været kendt i over en uge.

Dette er bedste bud på angrebsvektoren - En leverandør af managementsoftware som har mistet en masse passwords, så ikke en svaghed i Linux. cPanel bruges til at styre virtuelle hosts. Så hvis man ikke bruger det, så er man sandsynligvis sikker.

Panel also posted a notice to their users that they have been compromised. What’s even worse, it appears that one of the main support servers in cPanel has been compromised which again means that the attackers got loads of passwords. cPanel recommends that passwords are changed, but keep in mind – if your servers are infected with the SSHD rootkit, the attackers will get your passwords/keys anyway (see below). So make sure that you check if your server has been compromised and that you clean it accordingly.

  • more_vert
    • insert_linkKopier link
3
Hans Andersen
28. februar 2013 kl. 19:34

Det eneste sted hvor der findes malware er til M$. Og de har selv været ude om det.

Historien er plantet.

  • more_vert
    • insert_linkKopier link
6
Hans Andersen
28. februar 2013 kl. 22:51

Hvor helvede er "slet mit indlæg knappen?"

  • more_vert
    • insert_linkKopier link
7
Hans Andersen
28. februar 2013 kl. 23:05

Jeg advarer mod spøgelser

  • more_vert
    • insert_linkKopier link
4
Morten Grouleff
28. februar 2013 kl. 21:26

Kan du poste nogle links til noget dokumentation for den påstand?

  • more_vert
    • insert_linkKopier link
2
Esben Madsen
28. februar 2013 kl. 12:58

de fleste server-angreb sker vel via enten social engineering, opsnapning af passwords fra anden kilde eller sårbar software der kører på serveren... derefter skal der naturligvis en rettighedeskalering til for at kunne køre sådan noget som dette...

  • more_vert
    • insert_linkKopier link
1
Christian Nobel
28. februar 2013 kl. 12:34

.. så skal man altså lige huske på at dette rootkit ikke installerer sig selv på magisk vis, men kræver en aktiv handling af en rootbruger.

Dernæst så er det primært på RPM baserede systemer det er blevet set, men da der ikke vides ret meget om angrebsvektoren, så er det ikke sikkert at det ikke også godt kan hænde på ikke RPM baserede distributioner.

Men moralen er vel som så tit sagt - tænk dig grundigt om når du er logget ind som root.

  • more_vert
    • insert_linkKopier link