image

Groot aantal Duitse Linuxservers met rootkit geïnfecteerd

vrijdag 14 februari 2014, 10:58 door Redactie, 8 reacties
Laatst bijgewerkt: 14-02-2014, 11:51

Een groot aantal Duitse Linuxservers is met de Ebury-rootkit geïnfecteerd, zo waarschuwt de Duitse overheid. Ebury is een SSH-rootkit die een backdoor op besmette servers opent. De malware kan Linux en Unix-achtige systemen infecteren en is al een aantal maanden actief.

Infecties zouden onder andere plaatsvinden via aanvallen op beveiligingslekken die niet door de beheerders zijn gepatcht. Eenmaal actief op de server steelt de rootkit inloggegevens en stuurt die naar de aanvaller. Het gaat dan onder andere om wachtwoorden en gebruikersnamen voor SSH-verbindingen, alsmede SSH-privésleutels, waarmee de aanvallers ook toegang tot andere systemen krijgen.

Wereldwijd zouden er duizenden servers met de malware zijn besmet. De servers worden voor allerlei criminele doeleinden ingezet, zoals het doorsturen van bezoekers naar besmette websites, het infecteren van bezoekers van gehoste websites met malware en het versturen van spam.

Eigenaren van een besmette server die via hun provider zijn ingelicht krijgen het advies van het Bundesamt für Sicherheit in der Informationstechnik (BSI) om de server helemaal opnieuw te installeren. Het wijzigen van de wachtwoorden heeft namelijk geen zin, aangezien de malware een backdoor op de besmette server opent waardoor de aanvallers direct toegang hebben. Deze backdoorverbinding is niet zichtbaar in de logbestanden. In deze FAQ geeft het BSI aanwijzingen hoe een infectie is te herkennen.

Reacties (8)
14-02-2014, 11:49 door [Account Verwijderd] - Bijgewerkt: 14-02-2014, 11:49
[Verwijderd]
14-02-2014, 12:18 door Anoniem
Door Peter V.: Ja, daar gaan we weer (zou ik zeggen), want wat lees ik op de Duitse site?
Some affected systems analyzed had been compromised by exploiting vulnerabilities in outdated software packages which led to the attackers gaining root privileges.
Je ziet maar weer hoe belangrijk het is om elk systeem goed te patchen.

Dat geldt voor elk stukje software.
14-02-2014, 13:11 door Anoniem
Ach,ja Linux wordt vaak op servers gebruikt,en minder particulier.
Daardoor is het minder vatbaar tegen malware e.t.c zo denkt men tegenwoordig.
Bij de particulieren is het meestal Windows wat de klok slaat of OSX wat men gebruikt als OS.
Tegenwoordig moet je bij ieder besturingssysteem alert zijn tegen dreigingen.
Alles is vooruit gegaan met de technologie,dus men moet meegaan,om de systemen up to date te houden,om het te beschermen tegen dreigingen.
14-02-2014, 14:56 door Anoniem
Wordt dit beestje gevonden door chkrootkit?
14-02-2014, 16:00 door Anoniem
Door Anoniem: Tegenwoordig moet je bij ieder besturingssysteem alert zijn tegen dreigingen. Alles is vooruit gegaan met de technologie,dus men moet meegaan,om de systemen up to date te houden,om het te beschermen tegen dreigingen.

Dat wordt wat met smart tv's, cv's, koelkasten en wat al niet. Allemaal kwetsbaar. Moet je die allemaal inde gaten gaan houden, er updates op installeren en misschien zelfs security software. Niet zo heel veel mensen zullen daar zin in hebben. Het antwoord van de markt lijkt te worden: als ze niet willen, gaan we ze dwingen. Geen aanlokkelijk perspectief.
14-02-2014, 17:45 door Anoniem
Door Anoniem: Wordt dit beestje gevonden door chkrootkit?

jammer genoeg niet. Kun je terugvinden in FAQ.

Do antivirus products or other security tools detect Ebury?

Some antivirus products are capable of detecting Ebury, usually as 'SSHDoor' or 'Sshdkit'. However, ClamAV or tools like chkrootkit or rkhunter currently do not detect Ebury.
14-02-2014, 21:44 door Joep Lunaar - Bijgewerkt: 14-02-2014, 21:45
Voor de goede orde, de installatie van deze rootkit vereist root admin rechten. Aannemend dat een beheerder niet zo gek is deze rk vrijwillig zelf te installeren (geil op setup.exe klikken), gaat het om onbevoegden die op een of andere wijze reeds root rechten hebben weten te verkrijgen. De rk is dan een "cadeautje" er bovenop. Dus niet zozeer een nieuwe zwakte in de beveiliging als wel een exploitatie van een eerdere zwakte.

Ten overvloede: de FAQ over de rk van cert-bund.de stelt dat de infectie kan onstaan door (niet limitatief):

- Login credentials for a user account with root privileges on the affected system were stolen when administrators logged in using SSH from a machine already infected with Ebury. The login credentials were then harvested from the outgoing SSH connection on the infected machine.
- Login credentials for a user account with root privileges were stolen on Windows machines infected with an infostealer/keylogger malware when administrators logged in to the affected system using tools like PuTTY.
- The network of cPanel Inc.'s support department was compromised and machines used for connecting to customers' servers were found to be infected with Ebury [1].
- Some affected systems analyzed had been compromised by exploiting vulnerabilities in outdated software packages which led to the attackers gaining root privileges.

Van de bovenstaande lijst is de tweede interessant. Dat geval is een voorbeeld van hoe een gecompromitteerd MS Windows systeem een gevaar kan zijn voor andere systemen. En deze categorie van inbreuken op Windows schijnt bovendien niet erg zeldzaam!
15-02-2014, 02:20 door Anoniem
Maar linux vraagt toch een passw om iets te instaleren of als iets op root rechten moet draaien?
ik neem aan, dat als je opeens een venster krijgt met <root actions required, please enter password> dat je dan niet zomaar je passw invoert
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.