Abo
  • Services:
Anzeige
Ein Rootkit auf Debian-Webservern liefert infizierte Webseiten aus.
Ein Rootkit auf Debian-Webservern liefert infizierte Webseiten aus. (Bild: Kaspersky Labs)

Linux-Webserver: Rootkit liefert bösartige Iframes aus

Ein Rootkit auf Debian-Webservern liefert infizierte Webseiten aus.
Ein Rootkit auf Debian-Webservern liefert infizierte Webseiten aus. (Bild: Kaspersky Labs)

Ein kürzlich entdecktes Rootkit klinkt sich als Kernel-Modul in Linux-Systeme ein und legt Schadcode in Form von Iframes in ausgelieferten Webseiten ab. Auf dem Rechner eines Opfers sucht der Schadcode nach Schwachstellen und infiziert ihn.

Ein als Kernel-Modul umgesetztes Rootkit ist auf einem Nginx-Webserver entdeckt worden. Dort nutzt es Speicheradressen des Linux-Kernels (Symbols), um sich in das System einzuklinken (Hooking). Es bettet Iframes in die ausgelieferten Webseiten des Nginx-Servers ein. Diese enthalten wiederum eine präparierte Webseite, die den Rechner eines Opfers nach Schwachstellen durchsucht und dann infiziert.

Anzeige

Sowohl Kaspersky Labs als auch das Sicherheitsunternehmen Crowdstrike haben das Rootkit analysiert. Es wurde speziell für die Kernel-Version 2.6.32 in der 64-Bit-Variante erstellt. Diese Kernel-Version wird in Debian 6 alias Squeeze eingesetzt. Auf infizierten Servern wird es unter dem Namen module_init.ko im Verzeichnis /lib/modules/2.6.32-5-amd64/kernel/sound abgelegt.

Selbsttarnung

Das Rootkit-Modul analysiert die vom Linux-Kernel bereitgestellten Symbole und liest daraus die Speicheradressen etlicher Kernel-Funktionen und -Variablen aus und legt sie wiederum im Arbeitsspeicher ab. Die zuvor bei der Sammlung der Speicheradressen erstellten temporären Dateien werden gelöscht. Um sich zu tarnen, nutzt das Rootkit-Modul diverse Kernel-Funktionen. Um einen Neustart zu überstehen, trägt es sich in die Konfigurationsdatei /etc/rc.local ein.

Die Iframes werden direkt über die Kernel-Funktion tcp_sendmsg in TCP-Pakete injiziert. Selbst Fehlerseiten des Nginx-Servers enthalten dann iFrames, wie die ursprünglichen Entdecker feststellten und in der Mailingliste Seclists.org mitteilten. Den Inhalt der Iframes holt sich das Rootkit von einem C&C-Server ab, mit dem es sich mittels eines verschlüsselten Passworts verbindet. Kasperskys Experten konnten sich zwar nicht mit dem Server verbinden, er sei jedoch weiterhin aktiv und enthalte weitere Unix-basierte Werkzeuge, etwa zur Reinigung von Protokolldateien.

Noch unausgereift

Das Rootkit sei wohl noch in der experimentellen Phase, schreiben die Experten. Es ist noch mit Debugging-Informationen versehen und deshalb etwa 500 KByte groß. Es wurde auch deshalb entdeckt, weil die HTTP-Antworten nicht ordentlich geparst werden. Die Experten bei Crowdstrike kommen zu dem Schluss, dass das Rootkit eine Auftragsarbeit eines Entwicklers ist, der kaum Erfahrungen mit dem Linux-Kernel hat. Es sei später ergänzt und modifiziert worden. Außerdem müsste der Angreifer Root-Rechte für einen infizierten Debian-Server haben, denn der Code enthalte keine Hinweise auf ein Exploit, um als User Root-Rechte zu erlangen, heißt es im Crowdstrike-Blog.

Über die Verbreitung des Rootkits ist bislang nichts bekannt. Kaspersky Labs hat ihm den Namen Rootkit.Linux.Snakso.a gegeben und gibt an, ihn mit seiner Software entdecken zu können.


eye home zur Startseite
Baron Münchhausen. 29. Nov 2012

Bitte korrigieren, dann gibt es mehr Aufrufe

a user 21. Nov 2012

nun ja, das kommt darauf an wer von der manipulation nichts wissen soll. durch die...

a user 21. Nov 2012

steht doch alles da. bisher ein einziger server. die erste analyse läßt vermuten, dass es...

Anonymer Nutzer 21. Nov 2012

Hatte Golem auch Squeezy? Das ist ein weiterer Hinweis, dass heise und Golem voneinander...



Anzeige

Stellenmarkt
  1. Panasonic Industrial Devices Europe GmbH, Lüneburg
  2. PDV-Systeme GmbH, Goslar
  3. Daimler AG, Leinfelden-Echterdingen
  4. Daimler AG, Ludwigsfelde


Anzeige
Top-Angebote
  1. 55,99€ inkl. Versand (alter Preis: 65,00€)
  2. 44,00€ inkl. Versand (alter Preis: 59,99€)
  3. 1169,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Spielebranche

    Shadow Tactics gewinnt Deutschen Entwicklerpreis 2016

  2. Erotik-Abo-Falle

    Verdienen Mobilfunkbetreiber an WAP-Billing-Betrug mit?

  3. Final Fantasy 15

    Square Enix will die Story patchen

  4. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  5. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  6. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  7. Weltraumroboter

    Ein R2D2 für Satelliten

  8. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  9. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  10. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Travelers Box: Münzgeld am Flughafen tauschen
Travelers Box
Münzgeld am Flughafen tauschen
  1. Apple Siri überweist Geld per Paypal mit einem Sprachbefehl
  2. Soziales Netzwerk Paypal-Zahlungen bei Facebook und im Messenger möglich
  3. Zahlungsabwickler Paypal Deutschland bietet kostenlose Rücksendungen an

  1. Re: sieht kacke aus

    ableton | 01:02

  2. Bald auf RTL: Robot Wars - Space Edition. kwT

    ChristianKG | 01:00

  3. Re: Wir haben den auch direkt eingestellt...

    procrash | 00:59

  4. Re: CPU Entwicklung eh lächerlich...

    sg-1 | 00:57

  5. Einnahmen durch Werbung

    Hades85 | 00:54


  1. 22:00

  2. 18:47

  3. 17:47

  4. 17:34

  5. 17:04

  6. 16:33

  7. 16:10

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel