DFN-CERT warnt vor neuem Linux-Rootkit

Angriffe auf mehrere Linux-Systeme beobachtet

Das Computernotfallteam des Deutschen Forschungsnetzes (DFN) warnt vor aktuellen Angriffen, bei denen ein Rootkit auf Linux-Rechnern installiert wird. Zum Einbruch werden vermutlich gestohlene SSH-Schlüssel verwendet. Mit einem Skript des DFN-CERT lässt sich nach dem Rootkit suchen.

Artikel veröffentlicht am , Julius Stiebert

Das DFN-CERT vermutet, dass es sich bei dem verwendeten Kernel-Rootkit um eine neue Version des Rootkits Phalanx handelt. Beobachtet wurden bisher mehrere Angriffe in verschiedenen Netzwerken. Dazu wurden vermutlich gestohlene SSH-Schlüssel verwendet und anschließend das Rootkit installiert, das die Prozesse der Angreifer versteckt.

Stellenmarkt
  1. Mitarbeiter IT-Helpdesk / Supporttechniker (m/w/d)
    Heinz von Heiden GmbH Massivhäuser, Isernhagen bei Hannover
  2. Data Scientist (w/m/d)
    AGF Videoforschung GmbH, Frankfurt am Main
Detailsuche

Gefunden wurde auf den Systemen unter anderem ein Init-Skript mit Alias-Definitionen, unter anderem um Dateien mit fremden SSH-Schlüsseln zu kopieren. Auch ein Logfile der Tastatureingaben fand sich auf den Systemen.

Das Rootkit korrigiert nach Angaben des DFN-CERT den Linkcount nicht, so dass dieser zu hoch ist, wenn unterhalb eines Verzeichnisses ein weiteres versteckt wurde. Ein Beispiel dafür gibt es in der E-Mail des DFN-CERT.

Um versteckte Prozesse aufzuspüren, hat das DFN-CERT in seiner Warnmeldung zudem ein Skript veröffentlicht. Allerdings ist es durch die Konfiguration des Rootkits möglich, dass beide Methoden nichts finden - ebenso wie das Skript falschen Alarm geben kann.

Auch die Universität Chicago hat einen Hinweis veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Darq 19. Aug 2008

Das weis ich nicht, ich beobachte allerdings eine explodierende Scantätigkeit und...

Max Steel 19. Aug 2008

Sagt niemals nie... Trottel gibt es überall.

Lars123 06. Aug 2008

Es betraf soweit ich weiß nur die ssh-Schlüssel, welche unter Debian generiert wurden.

Lars123 06. Aug 2008

Naja, normalerweise besitzt nicht jeder Admin auch gleich das root-Passwort, welches Du...

Gunah 05. Aug 2008

wird das BeOS noch entwickelt?



Aktuell auf der Startseite von Golem.de
Powertoys
Microsofts kostenlose Tools, die Windows besser machen

Dateien benennen und Programme von überall starten: Mit den richtigen Tools lässt sich Windows besser bedienen. Wir zeigen die Powertoys.
Von Oliver Nickel

Powertoys: Microsofts kostenlose Tools, die Windows besser machen
Artikel
  1. Bundestagswahl: Bitte nicht in Jamaika landen!
    Bundestagswahl
    Bitte nicht in Jamaika landen!

    Ampel oder Jamaika: Grüne und FDP müssen sich nach der Bundestagswahl für eine der beiden Koalitionsoptionen entscheiden. Das sollte ihnen leichtfallen.
    Ein IMHO von Friedhelm Greis

  2. Mr. Goxx: Hamster handelt mit Kryptowährungen und schlägt Aktienindex
    Mr. Goxx
    Hamster handelt mit Kryptowährungen und schlägt Aktienindex

    Seit Juni 2021 ist der Hamster Mr. Goxx erfolgreich im Handel mit Kryptowährungen.

  3. Medion Erazer Hunter X20: Aldi-PC mit Geforce RTX 3080 und Windows 11
    Medion Erazer Hunter X20
    Aldi-PC mit Geforce RTX 3080 und Windows 11

    Der Erazer Hunter X20 nutzt einen wassergekühlten Prozessor und eine schnelle NVMe-SSD. Der Aldi-PC steckt in einem Inwin-Gehäuse.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung Odyssey G5 32" Curved WQHD 144Hz 265€ • Nur noch heute: Black Week bei NBB mit bis zu 50% Rabatt • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master MH 752 Gaming-Headset 59,90€) [Werbung]
    •  /