US-CERT warnt vor Angriffen auf Linux-Server

Cracker verwenden neues Rootkit. Das US-amerikanische Computer Emergency Response Team (US-CERT) warnt vor aktuellen Angriffen auf Linux-Server, bei denen ein neues Rootkit installiert wird. Damit schließt sich die Organisation der Warnung des Computernotfallteams des Deutschen Forschungsnetzes (DFN-CERT) an, die bereits Anfang August 2008 herausgegeben wurde.

27. August 2008 um 11:39 Uhr / Julius Stiebert

10 Kommentare undefined News folgen (öffnet im neuen Fenster)

Wie schon das DFN-CERT warnt nun das US-CERT vor Angriffen auf Linux-Server, bei denen das Rootkit Phalanx2 installiert wird. Ausgangspunkt für die Attacken sind laut US-CERT gestohlene SSH-Schlüssel, um Zugriff auf Systeme zu erlangen. Über Kernel-Exploits erlangen die Angreifer dann Root-Rechte und installieren die neue Version des Phalanx-Rootkits.

Phalanx2 ist dann laut Sicherheitswarnung(öffnet im neuen Fenster) wiederum so konfiguriert, dass es von dem kompromittierten System SSH-Schlüssel stiehlt. Diese werden dann genutzt, um auf die entsprechenden Server zu gelangen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Karrieretag Familienunternehmen 2026: Jetzt bewerben und durchstarten

zum Ratgeber

Seminar: Ausbildung: KI-Spezialist (TÜV)

zum Kurs

E-Learning: Network-Hacking (E-Learning in English)

zum Kurs

Das US-CERT gibt in seiner Meldung Hinweise, wie das Rootkit identifiziert werden kann. Unter anderem soll der Befehl "ls" das Verzeichnis /etc/khubd.p2/ nicht anzeigen, es lässt sich aber mit "cd /etc/khubd.p2" aufrufen. Dies gilt auch für Verzeichnisse mit dem Namen "khubd.p2" an anderen Stellen im Dateisystem. Außerdem kann /dev/shm/ Dateien des Angreifers enthalten.

Administratoren sollen daher ihre Systeme, auf denen SSH-Schlüssel als Teil automatisierter Prozesse verwendet werden, überprüfen, rät das Notfallteam. Wenn ein kompromittiertes System entdeckt wird, sollen Schlüsselauthentifizierungen möglichst deaktiviert und stattdessen Passwörter verwendet werden. Außerdem rät das US-CERT, sämtliche SSH-Schlüssel auf diesen Systemen zu überprüfen.

Weitere Informationen will die Organisation veröffentlichen, sobald diese verfügbar sind.

Zur Startseite 10 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

DFN-CERT warnt vor neuem Linux-Rootkit

Angriffe auf mehrere Linux-Systeme beobachtet. Das Computernotfallteam des Deutschen Forschungsnetzes (DFN) warnt vor aktuellen Angriffen, bei denen ein Rootkit auf Linux-Rechnern installiert wird. Zum Einbruch werden vermutlich gestohlene SSH-Schlüssel verwendet. Mit einem Skript des DFN-CERT lässt sich nach dem Rootkit suchen.

Rootkit auf Basis virtueller Maschinen entwickelt

Proof-of-Concept für Windows und Linux vorgestellt. Forscher der University of Michigan haben eine Möglichkeit entwickelt, virtuelle Maschinen als Rootkits zu missbrauchen. Im Rahmen ihrer Forschung an Sicherheitsdiensten auf Basis von virtuellen Maschinen entstand SubVirt. Dieses Rootkit verfrachtet ein laufendes Betriebssystem kurzerhand in eine virtuelle Maschine und lässt sich so nicht mehr auffinden.

Kernel-Guard soll gegen Rootkits schützen

Kernel-Modul verhindert das Laden von weiteren Modulen. Nach seiner Rootkit-Demonstration für den Linux-Kernel 2.6 stellt der Informatikstudent Amir Alsbih nun auch eine Gegenmaßnahme bereit. "Kernel-Guard" verhindert das Laden weiterer Module, selbst wenn ein Nutzer über Root-Rechte verfügt. Rootkits können somit nicht mehr installiert werden.

Relevante Themen