Thema: Linux-Webserver ..

[ritschibie]

Ein Rootkit auf Debian-Webservern liefert
infizierte Webseiten aus. (Bild: Kaspersky Labs)

Ein kürzlich entdecktes Rootkit klinkt sich als Kernel-Modul in Linux-Systeme ein und legt Schadcode in Form von Iframes in ausgelieferten Webseiten ab. Auf dem Rechner eines Opfers sucht der Schadcode nach Schwachstellen und infiziert ihn.

Ein als Kernel-Modul umgesetztes Rootkit ist auf einem Nginx-Webserver entdeckt worden. Dort nutzt es Speicheradressen des Linux-Kernels (Symbols), um sich in das System einzuklinken (Hooking). Es bettet Iframes in die ausgelieferten Webseiten des Nginx-Servers ein. Diese enthalten wiederum eine präparierte Webseite, die den Rechner eines Opfers nach Schwachstellen durchsucht und dann infiziert.

Sowohl Kaspersky Labs als auch das Sicherheitsunternehmen Crowdstrike haben das Rootkit analysiert. Es wurde speziell für die Kernel-Version 2.6.32 in der 64-Bit-Variante erstellt. Diese Kernel-Version wird in Debian 6 alias Squeeze eingesetzt. Auf infizierten Servern wird es unter dem Namen module_init.ko im Verzeichnis /lib/modules/2.6.32-5-amd64/kernel/sound abgelegt.


Selbsttarnung

Das Rootkit-Modul analysiert die vom Linux-Kernel bereitgestellten Symbole und liest daraus die Speicheradressen etlicher Kernel-Funktionen und -Variablen aus und legt sie wiederum im Arbeitsspeicher ab. Die zuvor bei der Sammlung der Speicheradressen erstellten temporären Dateien werden gelöscht. Um sich zu tarnen, nutzt das Rootkit-Modul diverse Kernel-Funktionen. Um einen Neustart zu überstehen, trägt es sich in die Konfigurationsdatei /etc/rc.local ein.

Die Iframes werden direkt über die Kernel-Funktion tcp_sendmsg in TCP-Pakete injiziert. Selbst Fehlerseiten des Nginx-Servers enthalten dann iFrames, wie die ursprünglichen Entdecker feststellten und in der Mailingliste Seclists.org mitteilten. Den Inhalt der Iframes holt sich das Rootkit von einem C&C-Server ab, mit dem es sich mittels eines verschlüsselten Passworts verbindet. Kasperskys Experten konnten sich zwar nicht mit dem Server verbinden, er sei jedoch weiterhin aktiv und enthalte weitere Unix-basierte Werkzeuge, etwa zur Reinigung von Protokolldateien.

Noch unausgereift

Das Rootkit sei wohl noch in der experimentellen Phase, schreiben die Experten. Es ist noch mit Debugging-Informationen versehen und deshalb etwa 500 KByte groß. Es wurde auch deshalb entdeckt, weil die HTTP-Antworten nicht ordentlich geparst werden. Die Experten bei Crowdstrike kommen zu dem Schluss, dass das Rootkit eine Auftragsarbeit eines Entwicklers ist, der kaum Erfahrungen mit dem Linux-Kernel hat. Es sei später ergänzt und modifiziert worden. Außerdem müsste der Angreifer Root-Rechte für einen infizierten Debian-Server haben, denn der Code enthalte keine Hinweise auf ein Exploit, um als User Root-Rechte zu erlangen, heißt es im Crowdstrike-Blog.

Über die Verbreitung des Rootkits ist bislang nichts bekannt. Kaspersky Labs hat ihm den Namen Rootkit.Linux.Snakso.a gegeben und gibt an, ihn mit seiner Software entdecken zu können.

Quelle: www.golem.de

[SiLæncer]

Security-Spezialisten des Internet Stormcenters berichten über eine sehr spezielle Hintertür, die derzeit auf kompromittierten Linux-Servern vorgefunden wird. Dabei manipulieren die Einbrecher eine Bibliothek des SSH-Dienstes. Betroffen sind anscheinend vor allem RPM-basierte Systeme; wie die Angreifer auf die Server kommen, ist allerdings noch nicht bekannt.

Die Eindringlinge ersetzen offenbar die Bibliothek libkeyutils durch eine trojanisierte Version. Diese protokolliert unter anderem Passwörter mit, verschickt ihre Erkenntnisse ins Netz und stellt auch eine Hintertür für spätere Zugriffe bereit. Diese Vorgehensweise ist weniger auffällig, als der bereits bekannte Ansatz, direkt das Programm sshd zu manipulieren.

Ob das eigene System betroffen ist, kann man mit Hilfe des Paket-Managers RPM feststellen:

# rpm -V <Paket>

wobei man den Paketnamen zuvor mit

# rpm -qf /lib/libkeyutils-*

ermittelt. Der Paketmanager überprüft dabei die MD5-Hashes aus seiner Paketdatenbank mit denen der vorgefundenen Dateien und meldet alle Abweichungen. Auf Debian-Systemen leistet das Utility debsums ähnliches, muss allerdings zunächst nachinstalliert werden. Prinzipiell könnte ein Rootkit diese Tests natürlich manipulieren; das war jedoch auf den analysierten Systemen nicht der Fall.

Quelle : www.heise.de

[SiLæncer]

Durch eine kritische Schwachstelle im Webserver nginx können Angreifer Code in das System einschleusen und damit die Kontrolle übernehmen. Verwundbar ist die Stable-Version 1.4.0 sowie alle Development-Versionen seit 1.3.9. Der weit verbreitete 1.2.xer Versionszweig ist nicht betroffen. Die Entwickler haben die Lücke mit der Stable-Version 1.4.1 geschlossen. Wer die Development-Version einsetzt, sollte auf die abgesicherte Version 1.5.0 umsteigen. Darüber hinaus gibt es einen Patch.

Der ganze Artikel

Quelle : www.heise.de