Abo
  • Services:
Anzeige
Das Botnet Windigo infiltriert Webserver mit gestohlenen SSH-Zugangsdaten.
Das Botnet Windigo infiltriert Webserver mit gestohlenen SSH-Zugangsdaten. (Bild: Eset)

Botnet Windigo: 10.000 kompromittierte Linux-Server als Malwareschleudern

Mehr als 10.000 Linux- und Unix-Server sollen mit unterschiedlicher Malware infiziert worden sein und zusammen unter dem Namen Operation Windigo Spam weitere Malware sowie zweifelhafte Werbung ausliefern.

Anzeige

Mit einer Kombination aus Rootkits und weiterer Schadsoftware liefern Kriminelle über gekaperte Linux- und Unix-Webserver Malware, pornografische Werbung und massenhaft Spam aus. Forscher haben das seit 2011 agierende Botnet "Operation Windigo" benannt. Möglicherweise wurde auch der Server von Kernel.org der Linux Foundation Opfer eines solchen Angriffs. Das Sicherheitsunternehmen Eset hat Windigo zusammen mit dem europäischen CERT, der europäischen Kernforschungsagentur CERN und der schwedischen National Infrastructure for Computing analysiert.

Die Betreiber des Botnets verschaffen sich über gestohlene Zugangsdaten Zugriffe auf die Server, auf denen in der Mehrzahl Linux läuft. Dort wird das Rootkit Linux/Ebury installiert, mit dem sich SSH-Zugangsdaten auf den infizierten Servern auslesen lassen. Mit dem Befehl ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected" lässt sich laut den Sicherheitsforschern bei Eset ermitteln, ob ein Server Teil des Windigo-Botnets geworden ist. Erste Versionen von Linux/Ebury veränderten noch die OpenSSH-Dateien ssh, sshd und ssh-add. Aktuelle Versionen manipulieren stattdessen die Datei libkeyutils.so, die von allen ausführbaren SSH-Dateien verwendet wird. Die infizierte Version der Bibliothek libkeyutils.so ist 30 KByte statt wie üblich 10 KByte groß. Die aktuelle Version von Linux/Ebury stammt von Mitte Februar 2014.

Angreifer nutzen die ergatterten SSH-Zugangsdaten, um sich Zugang zu Webseiten zu verschaffen, die über die infiltrierten Server ausgeliefert werden. Dort wird dann Linux/Cdorked installiert, über den weitere Malware die Besucher der infizierten Webseiten attackiert. Alternativ wird zweifelhafte Werbung ausgeliefert, etwa für pornografische Webseiten. Zusätzlich installieren die Angreifer das Perl-Skript Perl/Calfbot, über das Spam verschickt werden kann. Das Perl-Skript wird auch dann installiert, wenn sich die Angreifer keinen Root-Zugang zu einem Server verschaffen können, sondern nur Benutzerrechte erhalten.

Die Forscher bei Eset kommen zu dem Schluss, dass vor allem die unzureichende Authentifizierung auf den betroffenen Server den Angreifern zugutekomme. Stattdessen empfehlen die Sicherheitsforscher eine zweifache Authentifizierung. Da vermutlich nicht nur die genannte Malware auf den infizierten Servern installiert sei, sondern möglicherweise auch bislang unbekannte Schadsoftware, bleibe den Betroffenen meist nur die Möglichkeit, das Betriebssystem komplett neu zu installieren. Eine Reinigung der Server sei nahezu unmöglich, heißt es in der Analyse. Außerdem müssten Zugangsdaten zurückgesetzt und die betroffenen Nutzer informiert werden.

Diese Erfahrung haben wohl auch die Administratoren der Server Odin1 und Hera bei der Linux Foundation gemacht. Nach wochenlanger Suche wurden die Server von Kernel.org komplett neu aufgesetzt und sämtliche SSH-Zugänge als kompromittiert eingestuft und zurückgesetzt. Eine versprochene Fehleranalyse wurde bis heute nicht nachgereicht.


eye home zur Startseite
chrulri 20. Mär 2014

Das einzige was etwas bezüglich gestohlenen Zugangsdaten ändern würde, wäre eine 2-Level...

DASPRiD 20. Mär 2014

deaktiviert man als allererstes beim Einrichten eines Servers die Password...

M.P. 20. Mär 2014

Aus den Aussagen des Artikels abgelesen (abgesehen von der Überschrift) sind es...

Moe479 19. Mär 2014

... ist ja eher gering bei der großen anzahl an linux basierten web-servern.

Baron Münchhausen. 19. Mär 2014

Jep, und es wird speziell die stderr ausgabe (2) überprüft, in die ssh schreibt. Bei...



Anzeige

Stellenmarkt
  1. ALDI SÜD, Mülheim an der Ruhr
  2. Swiss Post Solutions GmbH, Bamberg
  3. GIGATRONIK München GmbH, München
  4. Rundfunk Berlin-Brandenburg (rbb), Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Resident Evil: Vendetta 14,99€, John Wick: Kapitel 2 9,99€, Fight Club 8,29€ und...
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. 9,97€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       


  1. Streaming

    Netflix gewinnt weiter Millionen Neukunden

  2. Zusammenlegung

    So soll das Netz von O2 einmal aussehen

  3. Kohlendioxid

    Island hat ein Kraftwerk mit negativen Emissionen

  4. Definitive Edition

    Veröffentlichung von Age of Empires kurzfristig verschoben

  5. Elex im Test

    Schroffe Schale und postapokalyptischer Kern

  6. Raven Ridge

    HP bringt Convertible mit AMDs Ryzen Mobile

  7. Medion E6436 und P10602

    Preiswertes Notebook und Tablet bei Aldi Süd

  8. Smartphone mit KI

    Huawei stellt neues Mate 10 Pro für 800 Euro vor

  9. KRACK

    WPA2 ist kaputt, aber nicht gebrochen

  10. Medion Akoya E2228T

    280-Euro-Convertible von Aldi hat 1080p



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

  1. Re: Wann Patch für Win + Mac?

    muhviehstarrr | 03:57

  2. Sackgasse lässt sich umgehen ;)

    AnonymerHH | 03:21

  3. Re: 900 Tonnen bei 100$ pro Tonne?

    Workoft | 02:46

  4. Verkaufe meine seele

    Jungjung23 | 02:41

  5. Re: blödsinn

    derJimmy | 02:35


  1. 23:03

  2. 19:01

  3. 18:35

  4. 18:21

  5. 18:04

  6. 17:27

  7. 17:00

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel