Sicherheit Keylogger verwandelt Linux-Server in Spam-Schleuder

Unter dem Namen SSHD-Spam-Exploit ist ein Rootkit in Umlauf, das Linux-Server in Spam-Schleudern verwandelt. Zugriff verschaffen sich die Angreifer offenbar über einen Keylogger.

Anzeige

Noch sind über das Rootkit SSHD-Spam-Exploit nicht viele Details bekannt, fest steht aber, dass es sich um ein Linux-Rootkit handelt, das sich auf Servern einnistet und von dort aus Spam verbreitet. In einem Thread auf webhostingtalk.com sammeln sich Berichte über das Rootkit.

Rootkit als Bibliothek

Die Malware installiert sich als Libkeyutils.so.1.9 mit Root-Rechten. Betroffen sind bisher mutmaßlich Server, auf denen Red-Hat-basierte Linux-Systeme wie CentOS oder Cloudlinux laufen. Betroffen sind Meldungen zufolge aber auch Archlinux oder Debian. Der Aufruf rpm -qf /lib64/libkeyutils.so.1.9 wird mit der Meldung "file /lib64/libkeyutils.so.1.9 is not owned by any package" quittiert. Betroffen sind auch 32-Bit-Systeme. Dort nistet sich das Rootkit im Verzeichnis /lib ein. Außerdem kann die Locate-Datenbank Updatedb mit su -c "updatedb" && locate libkeyutils.so.1.9 befragt werden. Es gibt auch Hinweise, dass die Datei abweichende Nummerierungen trägt, etwa libkeyutils.so.1.2.

Ersten Meldungen zufolge lässt sich die Malware löschen. Mit ldconfig können die installierten Bibliotheken in ld.so.cache aktualisiert werden. Inzwischen gibt es aber Hinweise, dass die Angreifer auch nach dem Löschen der Datei Zugriff auf den Server haben. Andere Anwender haben inzwischen den SSH-Port ganz abgeschaltet oder IP-Adressen mit Iptables geblockt, die in der Rootkit-Datei eingebettet sind.

Eingebettete IP-Adressen

Eine erste Analyse des Rootkits offenbart eine IP-Adresse, die vermeintlich zu einem Server in Moskau gehörte. Die IP-Adresse lässt sich mit den Befehlen ./audit libkeyutils.so.1.9 output und strings output |grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' auslesen.

Das Rootkit spioniert auch Passwörter auf dem betroffenen System aus und überträgt SSH-Schlüssel sowie die Passwortdatei /etc/shadow an den Server über eine SSH-Verbindung. Daher der Name " SSHD-Spam-Exploit".

Verbreitung unklar

Wie sich das Rootkit verbreitet, ist noch unklar. Zunächst berichteten Anwender über lokale Angriffe mit einem Keylogger, der die Login-Daten über eine geöffnete Administrationsshell eines Client-Rechners ausliest und über den Port 53/UDP auf einen Server eines Angreifers überträgt. Inzwischen gibt es aber auch Berichte über einen Angriff aus der Ferne, etwa über eine Schwachstelle im Mailserver Exim oder eine noch nicht gepatchte Ptrace-Schwachstelle im Linux-Kernel bis Version 3.7.5. Eine Infektion über den Linux-Kernel schließen die meisten Betroffenen aber aus. Zumindest der Grad der Verbreitung deutet aber auf externe Angriffe hin.

Für Cloudlinux gibt es einen Patch, der allerdings lediglich die Bibliotheksdatei löscht.

Kommentarübersicht
Re: Mit Linux wäre das nicht... (kwt)
posix 25. Feb 2013

Bei allen Systemen darf man grundsätzlich das Kernproblem nicht ausser acht lassen. Für...

Re: Darum Public Key Authentication für SSH
.................. 24. Feb 2013

jein, zusaetzlich hosts.allow / .deny und openvpn für den "Entry" Server...

Könnt ihr mal die Mobilfunkstation aus dem...
Dr.med.DenRasen 23. Feb 2013

Das zeichnet diesen Artikel in hoher Art und Weise in Sachen recherchierte Qualität aus...

Re: Mücke -> Elefant
Franz Hornauer 22. Feb 2013

Zustimmung. Ich habe gerade auf meinen Debian-Systemen geprüft. In dem Golem-Artikel ist...

"die Locate-Datenbank Updatedb"
Snarley 22. Feb 2013

Was ist denn das für eine Formulierung? updatedb ist das Programm zum erneuern der Locate...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Energiewirtschafts-Spezialist (m/w) für den Bereich Software-Analyse
    SCHLEUPEN AG, Moers
  2. Verfahrensmanger/-in für IT-Verfahren im Bildungswesen
    Dataport, Altenholz bei Kiel oder Hamburg
  3. Solution Architect Data Warehouse (m/w)
    Loyalty Partner Solutions GmbH, not specified
  4. Software-Entwickler (m/w) Windows embedded Systeme
    TRUMPF GmbH & Co. KG, Ditzingen bei Stuttgart

 

Detailsuche

Folgen Sie uns
       
Videos
Republica 2013 - Eindrücke aus der Station Berlin Republica 2013 - Eindrücke aus der Station Berlin
Ticker
  1. Filesharing

    Schweiz will Internetsperren auf das Urheberrecht ausweiten

  2. Oslic und Oscad

    Ratgeber für freie Lizenzen

  3. Datenschutz-Grundverordnung

    Chaos Computer Club fürchtet Datenschutzauflösung durch EU

  4. 3M

    Quantenpunkte sollen LCDs farbiger machen

  5. Solar Impulse

    Solarflugzeug fliegt nach Dallas

  6. Telekom

    Bundestagspetition gegen Drosselung gestartet

  7. Linuxtag 2013

    Univention Absolventenpreis für Stauvermeidung

  8. Smartphones

    Kritik an Samsungs "rabiater Vorherrschaft"

  9. Steve Wilhite

    Ehrung für den Erfinder des "Jif"-Formates

  10. Seagate

    4-TByte-Festplatte für DVR und Videoüberwachung

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Playstation 4
Sony: Die Playstation 4 ist schwarz - und verschwommen
Sony
Die Playstation 4 ist schwarz - und verschwommen

Störfeuer von Sony: Kurz vor der Enthüllung der nächsten Xbox hat Sony ein Video veröffentlicht, das zumindest einen verschwommenen Blick auf das Gehäuse der Playstation 4 gewährt.

  1. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"
  2. Lords of the Fallen Witcher-2- und Ankh-Macher arbeiten an Rollenspiel
  3. Polyphony Digital Gran Turismo erscheint für Playstation 3 - vorerst
Xbox One
Xbox One: Forza 5 und Halo-Serie von Spielberg kommen für Xbox One
Xbox One
Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

Microsoft hat erste Exklusivinhalte für die Xbox One vorgestellt. Neben dem Rennspiel Forza 5 fällt vor allem Halo auf, das noch nicht als Spiel, sondern als Serie von Steven Spielberg auf die Konsole kommt. Für Call of Duty: Ghosts gibt es Exklusivinhalte zuerst.

  1. Microsoft Neue Xbox wird offiziell Ende Mai 2013 enthüllt
  2. Nächste Xbox Cliff Bleszinski schaltet sich in Always-on-Debatte ein
  3. Nächste Xbox Cryteks Ryse und neues Forza exklusiv zum Start
Unity
Engine: Unity-Basis kostenlos mit Mobile-Werkzeugen
Engine
Unity-Basis kostenlos mit Mobile-Werkzeugen

Hobbyentwickler und kleine Studios können mit der Unity-Engine ab sofort kostenlos für Android und iOS produzieren. Etwas später sollen auch die Werkzeuge für Windows 8, Blackberry und weitere mobile Plattformen verfügbar sein.

  1. Eve VR ausprobiert Freie Sicht im Cockpit von Eve Online
  2. Test Ubuntu 13.04 Raring Ringtail geht's langsam an
  3. Unity Hat Adobe das Interesse an Flash verloren?
Forumsbeiträge »
  1. Xbox One Big Brother im Wohnzimmer

    OLD SCHOOL

    Homunkulus001 | 22.05. 23:59

  2. Neue Methode zur Gewinnung von Wasserstoff

    Re: Atomenergie ist sauberer !

    PLANETSAFER | 22.05. 23:57

  3. Briefkastenfirmen Apple ist "einer der größten Steuervermeider" der USA

    Re: Steuern

    GodsBoss | 22.05. 23:51

  4. Xbox One Big Brother im Wohnzimmer

    Laserpointer auf die Kamera ...

    Shrykull | 22.05. 23:48

  5. Filesharing Schweiz will Internetsperren auf das Urheberrecht ausweiten

    Re: Überraschung!!

    DrWatson | 22.05. 23:44

Ticker »
  1. Filesharing Schweiz will Internetsperren auf das Urheberrecht ausweiten

    18:37

  2. Oslic und Oscad Ratgeber für freie Lizenzen

    18:08

  3. Datenschutz-Grundverordnung Chaos Computer Club fürchtet Datenschutzauflösung durch EU

    17:07

  4. 3M Quantenpunkte sollen LCDs farbiger machen

    16:29

  5. Solar Impulse Solarflugzeug fliegt nach Dallas

    16:19

  6. Telekom Bundestagspetition gegen Drosselung gestartet

    14:54

  7. Linuxtag 2013 Univention Absolventenpreis für Stauvermeidung

    14:30

  8. Smartphones Kritik an Samsungs "rabiater Vorherrschaft"

    13:46

Zum Artikel