DFN-CERT warnt vor neuem Linux-Rootkit

Angriffe auf mehrere Linux-Systeme beobachtet. Das Computernotfallteam des Deutschen Forschungsnetzes (DFN) warnt vor aktuellen Angriffen, bei denen ein Rootkit auf Linux-Rechnern installiert wird. Zum Einbruch werden vermutlich gestohlene SSH-Schlüssel verwendet. Mit einem Skript des DFN-CERT lässt sich nach dem Rootkit suchen.

5. August 2008 um 10:43 Uhr / Julius Stiebert

20 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Das DFN-CERT vermutet(öffnet im neuen Fenster), dass es sich bei dem verwendeten Kernel-Rootkit um eine neue Version des Rootkits Phalanx handelt. Beobachtet wurden bisher mehrere Angriffe in verschiedenen Netzwerken. Dazu wurden vermutlich gestohlene SSH-Schlüssel verwendet und anschließend das Rootkit installiert, das die Prozesse der Angreifer versteckt.

Gefunden wurde auf den Systemen unter anderem ein Init-Skript mit Alias-Definitionen, unter anderem um Dateien mit fremden SSH-Schlüsseln zu kopieren. Auch ein Logfile der Tastatureingaben fand sich auf den Systemen.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)

Sachbearbeiter / Sachbearbeiterin (w/m/d) für die IT‑Kommunikationssysteme Bundesnachrichtendienst, Pullach (bei München) (öffnet im neuen Fenster)

IT‑Spezialisten (w/m/d) für zentrale Druck- und Scanlösungen Deutscher Bundestag, Berlin,Homeoffice (öffnet im neuen Fenster)

SAP IS-U Inhouse Consultant (m/w/d) Stadtwerke Bielefeld GmbH, Bielefeld (öffnet im neuen Fenster)

Senior Lead Engineer (w/m/d) Netzwerk- und Security Services Zentrale Stelle für Informationstechnik im Sicherheitsbereich, München (öffnet im neuen Fenster)

Senior Consultant (m/w/d) Audit in Berlin Becker Büttner Held Rechtsanwälte Steuerberater Unternehmensberater PartGmbB, Berlin (öffnet im neuen Fenster)

SAP HCM Application Manager*in Brückner Maschinenbau GmbH, Siegsdorf (öffnet im neuen Fenster)

Teamlead Development (m/w/d) CHEFS CULINAR Software und Consulting GmbH & Co. KG, Weeze (öffnet im neuen Fenster)

Abteilungsleiter:in (w/m/d) IT und Digitalisierung Stadt Frankfurt am Main - DER MAGISTRAT –, Frankfurt am Main (öffnet im neuen Fenster)

Das Rootkit korrigiert nach Angaben des DFN-CERT den Linkcount nicht, so dass dieser zu hoch ist, wenn unterhalb eines Verzeichnisses ein weiteres versteckt wurde. Ein Beispiel dafür gibt es in der E-Mail des DFN-CERT.

Um versteckte Prozesse aufzuspüren, hat das DFN-CERT in seiner Warnmeldung zudem ein Skript veröffentlicht. Allerdings ist es durch die Konfiguration des Rootkits möglich, dass beide Methoden nichts finden – ebenso wie das Skript falschen Alarm geben kann.

Auch die Universität Chicago hat einen Hinweis(öffnet im neuen Fenster) veröffentlicht.

Zur Startseite 20 Kommentare

Anzeige Hier geht es zu Linux: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Rootkit auf Basis virtueller Maschinen entwickelt

Proof-of-Concept für Windows und Linux vorgestellt. Forscher der University of Michigan haben eine Möglichkeit entwickelt, virtuelle Maschinen als Rootkits zu missbrauchen. Im Rahmen ihrer Forschung an Sicherheitsdiensten auf Basis von virtuellen Maschinen entstand SubVirt. Dieses Rootkit verfrachtet ein laufendes Betriebssystem kurzerhand in eine virtuelle Maschine und lässt sich so nicht mehr auffinden.

Kernel-Guard soll gegen Rootkits schützen

Kernel-Modul verhindert das Laden von weiteren Modulen. Nach seiner Rootkit-Demonstration für den Linux-Kernel 2.6 stellt der Informatikstudent Amir Alsbih nun auch eine Gegenmaßnahme bereit. "Kernel-Guard" verhindert das Laden weiterer Module, selbst wenn ein Nutzer über Root-Rechte verfügt. Rootkits können somit nicht mehr installiert werden.

Rootkit-Demonstration für Kernel 2.6

Modifizierte Version des auf dem 22C3 vorgestellten Rootkits. Amir Alsbih hat ein Rootkit für den Linux-Kernel 2.6 veröffentlicht, das demonstrieren soll, wie Rootkit-Funktionen unter dem 2.6er-Kernel implementiert werden können. Bereits auf dem 22. Chaos Communication Congress Ende 2005 (22C3) in Berlin hatte er im Rahmen eines Vortrages ein Rootkit vorgestellt, das allerdings nicht veröffentlicht wurde. Eine modifizierte Version steht nun jedoch zum Download bereit.

Relevante Themen