Fælt rootkit rammer Linux-servere

Et meget diskret stykke malware hærger nu RPM-baserede Linux-servere. Rootkittet kobler sig på SSH-funktionen og stjæler passwords.

Bruger du SSHD-funktionen på servere med en RPM-baseret Linux-distribution, skal du tjekke, om du er blevet ramt af et nyt, meget listigt rootkit.

Sådan lyder rådet fra den danske it-sikkerhedstjeneste DK-CERT, efter at rootkittet er blevet opdaget af amerikanske it-sikkerhedsfolk hos SANS Internet Storm Center.

Målet for rootkittet er SSH Daemon (SSHD), som bliver brugt til at kommunikere sikkert med andre computere via internettet. Her gemmer rootkittet sig og infiltrerer autentifikations-proceduren. Dermed kan malwaren opsnappe brugernavne og passwords, som så automatisk bliver sendt tilbage til hackerne, uden at efterlade sig spor i form af logs, skriver Storm Center.

Den samlede bedømmelse af malwaren er ’meget, meget fæl’. Men der er forskellige måder at kontrollere, om man er blevet ramt. Enten kan man tjekke, hvad der kører i computerens hukommelse, for er man ramt af rootkittet, vil SSH-processen optræde på listen, hvad den normalt ikke ville gøre.

Hukommelseskigget kan ske med denne kommando: # ipcs –m

Er der tegn på unormal adfærd, kræver det flere undersøgelser af computeren. Dem kan du læse om hos Storm Center.

Hvordan rootkittet kommer indenfor i første omgang er i øvrigt ikke opklaret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Nobel

.. så skal man altså lige huske på at dette rootkit ikke installerer sig selv på magisk vis, men kræver en aktiv handling af en rootbruger.

Dernæst så er det primært på RPM baserede systemer det er blevet set, men da der ikke vides ret meget om angrebsvektoren, så er det ikke sikkert at det ikke også godt kan hænde på ikke RPM baserede distributioner.

Men moralen er vel som så tit sagt - tænk dig grundigt om når du er logget ind som root.

  • 8
  • 2
#8 Povl H. Pedersen

Angrebsvektoren er stadig usikker. Det har været kendt i over en uge.

Dette er bedste bud på angrebsvektoren - En leverandør af managementsoftware som har mistet en masse passwords, så ikke en svaghed i Linux. cPanel bruges til at styre virtuelle hosts. Så hvis man ikke bruger det, så er man sandsynligvis sikker.

Panel also posted a notice to their users that they have been compromised. What’s even worse, it appears that one of the main support servers in cPanel has been compromised which again means that the attackers got loads of passwords. cPanel recommends that passwords are changed, but keep in mind – if your servers are infected with the SSHD rootkit, the attackers will get your passwords/keys anyway (see below). So make sure that you check if your server has been compromised and that you clean it accordingly.

  • 2
  • 0
#9 Steen Poulsen

Nu kan jeg ikke verificere det endnu, men jeg har for 14 dage siden skiftet en server fra ubuntu server 64, til en debian server 64, samt samt en smoothwall, netop fordi, min system var mærkeligt, uden jeg kunne finde en årsag - netBIOS, samba og tcp/ip no buffer availabe på windows xp'er. Og da Det havde kørt en dags tid var der mange ssh port 22 adgangsforsøg, netop fra en 74.... Ip adresse, så jeg skal hjem og se om den ubuntu er ramt ! Så jeg er meget bekymret.

  • 0
  • 0
Log ind eller Opret konto for at kommentere