US-CERT warnt vor Angriffen auf Linux-Server

Cracker verwenden neues Rootkit

Das US-amerikanische Computer Emergency Response Team (US-CERT) warnt vor aktuellen Angriffen auf Linux-Server, bei denen ein neues Rootkit installiert wird. Damit schließt sich die Organisation der Warnung des Computernotfallteams des Deutschen Forschungsnetzes (DFN-CERT) an, die bereits Anfang August 2008 herausgegeben wurde.

Artikel veröffentlicht am , Julius Stiebert

Wie schon das DFN-CERT warnt nun das US-CERT vor Angriffen auf Linux-Server, bei denen das Rootkit Phalanx2 installiert wird. Ausgangspunkt für die Attacken sind laut US-CERT gestohlene SSH-Schlüssel, um Zugriff auf Systeme zu erlangen. Über Kernel-Exploits erlangen die Angreifer dann Root-Rechte und installieren die neue Version des Phalanx-Rootkits.

Phalanx2 ist dann laut Sicherheitswarnung wiederum so konfiguriert, dass es von dem kompromittierten System SSH-Schlüssel stiehlt. Diese werden dann genutzt, um auf die entsprechenden Server zu gelangen.

Das US-CERT gibt in seiner Meldung Hinweise, wie das Rootkit identifiziert werden kann. Unter anderem soll der Befehl "ls" das Verzeichnis /etc/khubd.p2/ nicht anzeigen, es lässt sich aber mit "cd /etc/khubd.p2" aufrufen. Dies gilt auch für Verzeichnisse mit dem Namen "khubd.p2" an anderen Stellen im Dateisystem. Außerdem kann /dev/shm/ Dateien des Angreifers enthalten.

Administratoren sollen daher ihre Systeme, auf denen SSH-Schlüssel als Teil automatisierter Prozesse verwendet werden, überprüfen, rät das Notfallteam. Wenn ein kompromittiertes System entdeckt wird, sollen Schlüsselauthentifizierungen möglichst deaktiviert und stattdessen Passwörter verwendet werden. Außerdem rät das US-CERT, sämtliche SSH-Schlüssel auf diesen Systemen zu überprüfen.

Weitere Informationen will die Organisation veröffentlichen, sobald diese verfügbar sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
DFN-CERT warnt vor neuem Linux-Rootkit
Rootkit auf Basis virtueller Maschinen entwickelt
Kernel-Guard soll gegen Rootkits schützen
Meistgelesen
artikel-bild
Charter Communications
Nokia stattet erstmals einen Kabelnetzbetreiber mit 5G aus
artikel-bild
Diablo 4 im Test
Blizzards Meisterwerk definiert das Genre neu
artikel-bild
Apple
Vision Pro zwischen Finger-Tracking-Lob und Gewicht-Kritik
Kommentarübersicht
Re: Nur Schlüssel ohne Passphrase betroffen?
Lord_Pinhead 27. Aug 2008

An sich ja. Heißt aber nicht das deine Windose daheim nicht schon die Schlüssel...

Mit HURD wäre das nicht passiert 1!elf
Trächtige Tröllin 27. Aug 2008

St IGNUcius, Schutzheiliger der Church of Emacs, gepriesen werden Dein Name. Dein HURD...

Re: Is schon Freitag?!
Jaja! 27. Aug 2008

Öhm... mit windows wär das nicht passiert?!? verdammt, ich kann nicht lügen.

Nur Schlüssel ohne Passphrase betroffen?
Penetrator 27. Aug 2008

Wenn ich das richtig verstehe, sind aber nur SSH-Keys ohne Passphrase betroffen, richtig?

Aktuell auf der Startseite von Golem.de
Apple
Vision Pro zwischen Finger-Tracking-Lob und Gewicht-Kritik

Sehr gutes Bild, nahezu perfekte Bedienung aber ein bisschen zu schwer: Die ersten Hands-ons von Apple Vision Pro sind insgesamt positiv.
Ein Bericht von Peter Steinlechner

Apple: Vision Pro zwischen Finger-Tracking-Lob und Gewicht-Kritik
Artikel
  1. Zen 4c Bergamo: So schrumpft AMD die Epyc-Kerne um fast die Hälfte
    Zen 4c Bergamo
    So schrumpft AMD die Epyc-Kerne um fast die Hälfte

    Bis zu 128 Kerne stellt AMD gegen ARM-Server-Prozessoren und Intels E-Cores. Kompromisse und neue Technik machen die kleineren Kerne möglich.

  2. Diablo 4 im Test: Blizzards Meisterwerk definiert das Genre neu
    Diablo 4 im Test
    Blizzards Meisterwerk definiert das Genre neu

    Unsere Hoffnungen bewahrheiten sich: Diablo 4 ist der beste Teil der exzellenten Spieleserie, an der sich auch Konkurrenten messen müssen.
    Ein Test von Oliver Nickel

  3. SAN: Zweites Leben für ausrangierte Firmenhardware
    SAN
    Zweites Leben für ausrangierte Firmenhardware

    Wenn die lokale Festplatte randvoll ist, können Speicherlösungen aus professioneller Umgebung die Antwort sein. Wir zeigen, wie.
    Eine Anleitung von Nico Ruch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • PS5-Spiele & Zubehör bis -75% • Samsung 990 Pro 1TB (PS5) 94€ • AirPods 2 125€ • Crucial SSD 1TB 41,99€ • Thrustmaster T300 RS 299,99€ • Bis 50 % auf Gaming-Produkte bei NBB • PS5 inkl. Spiel 549€ • MSI RTX 4070 Ti 999€ • MindStar: AMD Ryzen 7 5800X3D 285€, RX 7900 XTX 989€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /