Ein Rootkit verwandelt Linux-Server in Spamschleuder.
Ein Rootkit verwandelt Linux-Server in Spamschleuder. (Bild: Jörg Thoma/Golem.de)

Sicherheit Keylogger verwandelt Linux-Server in Spam-Schleuder

Unter dem Namen SSHD-Spam-Exploit ist ein Rootkit in Umlauf, das Linux-Server in Spam-Schleudern verwandelt. Zugriff verschaffen sich die Angreifer offenbar über einen Keylogger.

Anzeige

Noch sind über das Rootkit SSHD-Spam-Exploit nicht viele Details bekannt, fest steht aber, dass es sich um ein Linux-Rootkit handelt, das sich auf Servern einnistet und von dort aus Spam verbreitet. In einem Thread auf webhostingtalk.com sammeln sich Berichte über das Rootkit.

Rootkit als Bibliothek

Die Malware installiert sich als Libkeyutils.so.1.9 mit Root-Rechten. Betroffen sind bisher mutmaßlich Server, auf denen Red-Hat-basierte Linux-Systeme wie CentOS oder Cloudlinux laufen. Betroffen sind Meldungen zufolge aber auch Archlinux oder Debian. Der Aufruf rpm -qf /lib64/libkeyutils.so.1.9 wird mit der Meldung "file /lib64/libkeyutils.so.1.9 is not owned by any package" quittiert. Betroffen sind auch 32-Bit-Systeme. Dort nistet sich das Rootkit im Verzeichnis /lib ein. Außerdem kann die Locate-Datenbank Updatedb mit su -c "updatedb" && locate libkeyutils.so.1.9 befragt werden. Es gibt auch Hinweise, dass die Datei abweichende Nummerierungen trägt, etwa libkeyutils.so.1.2.

Ersten Meldungen zufolge lässt sich die Malware löschen. Mit ldconfig können die installierten Bibliotheken in ld.so.cache aktualisiert werden. Inzwischen gibt es aber Hinweise, dass die Angreifer auch nach dem Löschen der Datei Zugriff auf den Server haben. Andere Anwender haben inzwischen den SSH-Port ganz abgeschaltet oder IP-Adressen mit Iptables geblockt, die in der Rootkit-Datei eingebettet sind.

Eingebettete IP-Adressen

Eine erste Analyse des Rootkits offenbart eine IP-Adresse, die vermeintlich zu einem Server in Moskau gehörte. Die IP-Adresse lässt sich mit den Befehlen ./audit libkeyutils.so.1.9 output und strings output |grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' auslesen.

Das Rootkit spioniert auch Passwörter auf dem betroffenen System aus und überträgt SSH-Schlüssel sowie die Passwortdatei /etc/shadow an den Server über eine SSH-Verbindung. Daher der Name " SSHD-Spam-Exploit".

Verbreitung unklar

Wie sich das Rootkit verbreitet, ist noch unklar. Zunächst berichteten Anwender über lokale Angriffe mit einem Keylogger, der die Login-Daten über eine geöffnete Administrationsshell eines Client-Rechners ausliest und über den Port 53/UDP auf einen Server eines Angreifers überträgt. Inzwischen gibt es aber auch Berichte über einen Angriff aus der Ferne, etwa über eine Schwachstelle im Mailserver Exim oder eine noch nicht gepatchte Ptrace-Schwachstelle im Linux-Kernel bis Version 3.7.5. Eine Infektion über den Linux-Kernel schließen die meisten Betroffenen aber aus. Zumindest der Grad der Verbreitung deutet aber auf externe Angriffe hin.

Für Cloudlinux gibt es einen Patch, der allerdings lediglich die Bibliotheksdatei löscht.


posix 25. Feb 2013

Bei allen Systemen darf man grundsätzlich das Kernproblem nicht ausser acht lassen. Für...

.................. 24. Feb 2013

jein, zusaetzlich hosts.allow / .deny und openvpn für den "Entry" Server...

Dr.med.DenRasen 23. Feb 2013

Das zeichnet diesen Artikel in hoher Art und Weise in Sachen recherchierte Qualität aus...

Franz Hornauer 22. Feb 2013

Zustimmung. Ich habe gerade auf meinen Debian-Systemen geprüft. In dem Golem-Artikel ist...

Snarley 22. Feb 2013

Was ist denn das für eine Formulierung? updatedb ist das Programm zum erneuern der Locate...

Kommentieren



Anzeige

  1. IT-Netzwerkspezialist (m/w)
    Bechtle AG, Bonn
  2. Software Architect Microsoft.NET (m/w)
    QIAGEN GmbH, Hilden (bei Düsseldorf)
  3. Digital Design Engineer (m/w) System-on-Chip für ASICs
    DR. JOHANNES HEIDENHAIN GmbH, Traunreut
  4. Professional System Engineer (m/w) für Microsoft Exchange
    Diehl Informatik GmbH, Nürnberg

Detailsuche


Top-Angebote
  1. NEU: Fast & Furious 7 - Extended Version (inkl. Digital Ultraviolet) [Blu-ray]
    14,99€
  2. NEU: Kingsman - The Secret Service [Blu-ray]
    11,99€
  3. NEU: 4 Blu-rays für 30 EUR
    (u. a. Interstellar, Grand Budapest Hotel, Teenage Mutant Ninja Turtles, Django Unchained, Edge of...

Weitere Angebote


Folgen Sie uns
       


  1. Google

    Android-Wear-Smartwatches umgehen Apples Healthkit

  2. Autonomes Fahren

    Wer hat die besten Karten?

  3. Verschlüsselung

    Microsoft, Google und Mozilla schalten RC4 2016 ab

  4. Photosynthese

    US-Forscher entwickeln günstiges künstliches Blatt

  5. Internet

    Vodafone verbilligt seine VDSL-50- und -100-Tarife

  6. Skylake

    Intel stattet seinen HDMI-Stick mit Core M aus

  7. AOMedia

    Webfirmen wollen einheitlichen und lizenzfreien Videocodec

  8. Playstation 4

    Kenshin bringt Communitys und vergrößert die Cloud

  9. Vodafone

    Kabel Deutschlands Spiegelei-Logo verschwindet heute

  10. Alternatives Android

    Cyanogenmod bringt CM12.1-Release und Stagefright-Patches



Haben wir etwas übersehen?

E-Mail an news@golem.de



Primove in der Hauptstadt: Berlin hat wieder eine E-Bus-Linie
Primove in der Hauptstadt
Berlin hat wieder eine E-Bus-Linie
  1. Berliner Verkehrsbetriebe Update legt elektronischen Echtzeit-Fahrplan tagelang lahm
  2. Bombardier Primove Eine E-Busfahrt, die ist lustig
  3. Bombardier Primove Erste Tests mit Induktionsbussen in Berlin

Digiskopie ausprobiert: Ich schau dir in die Augen, Wildes!
Digiskopie ausprobiert
Ich schau dir in die Augen, Wildes!
  1. Modulo Neue Kamera belichtet nie über
  2. Obstruction-Free Photography Algorithmus entfernt störende Elemente aus Fotos
  3. Flir One Hochauflösende Wärmebildkamera für iOS und Android

Snowden-Dokumente: Die planmäßige Zerstörungswut des GCHQ
Snowden-Dokumente
Die planmäßige Zerstörungswut des GCHQ
  1. Macbooks IBM wechselt vom Lenovo Thinkpad zum Mac
  2. Liske Bitkom schließt Vorstandsmitglied im Streit aus
  3. IuK-Kommission Das Protokoll des Bundestags-Hacks

  1. Re: abmahnung wegen ... ?

    DerVorhangZuUnd... | 12:30

  2. Aber der Ausbau ist doch so teuer

    matok | 12:30

  3. Re: kann hier einer denken...oder nur...

    Peter Brülls | 12:29

  4. Re: Häßlich wie die Nacht!

    Heldbock | 12:29

  5. Re: Falscher Ansatz? Bin etwas enttäuscht.

    Slurpee | 12:27


  1. 12:30

  2. 12:00

  3. 11:58

  4. 11:54

  5. 11:53

  6. 11:25

  7. 10:59

  8. 10:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel