ssh-Rootkit im Umlauf!

kk · 20. Februar 2013

Gleich vorab: das hat nichts mit LiveConfig zu tun

Derzeit scheint ein SSH-Rootkit im Umlauf zu sein - Details sind noch äußerst unklar. Ein Hinweis auf eine Infektion liegt vor, wenn die Datei /lib64/libkeyutils.so.1.9 existiert (andere Versionen - wie z.B. libkeyutils.so.1.3 sind ok).

Die infizierten Systeme werden derzeit wohl hauptsächlich zum Versand von Spam verwendet. Eine ausführliche Diskussion dieses Themas findet sich auf dem englischen WebHostingTalk-Forum.

Bitte prüfen Sie bei Gelegenheit, ob die o.g. Datei auf Ihren Systemen existiert. Betroffen sind offenbar alle Linux-Distributionen. Ob der Einstieg über einen Fehler im SSH-Daemon oder über per Trojaner abgeschnüffelte Passwörter läuft, ist derzeit noch nicht geklärt.

Viele Grüße

-Klaus Keppler

aziegler · 21. Februar 2013

Ursache könnte CVE-2013-0871 sein - siehe u.a.:
https://security-tracker.debian.org/tracker/CVE-2013-0871
https://access.redhat.com/security/cve/CVE-2013-0871

kk · 21. Februar 2013

Nein, für den Angriff via ptrace muss man bereits lokaler Benutzer sein. Der Einstieg erfolgt aber scheinbar direkt über den root-Account via SSH.

aziegler · 21. Februar 2013

Zitat von kk

Nein, für den Angriff via ptrace muss man bereits lokaler Benutzer sein. Der Einstieg erfolgt aber scheinbar direkt über den root-Account via SSH.

ich erlaube mir aus dem von Ihnen zitierten Thread zu zitieren:
"Evidence is increasingly pointing towards a local vulnerability"

kk · 22. Februar 2013

Inzwischen gibt es vom SANS neue Informationen zum Rootkit:
https://isc.sans.edu/diary/SSHD+rootkit+in+the+wild/15229

Der Angriffsvektor selbst ist aber noch unklar.

Jetzt mitmachen!