SSH-Attacke auf Linux

Das US-Cert warnte vor den Fehlern. In der Beschreibung der Sicherheitsfachleute heißt es, die kompromittierten SSH-Schlüssel würden dabei nur als Einbruchswerkzeug verwendet, um Hacker ins System einzuschleusen. Dann würden sie auf Root-Ebene weiter in das System vordringen.

Mit einem lokal verwendeten Kernel-Exploit können sie auf der Root-Ebene operieren. Dabei kommt es nach den Angaben zu einer Installation der so genannten ‘Phalanx2’. Es handelt sich augenscheinlich um eine Ableitung aus einem älteren Rootkit-Angriffsszenario, Phalanx. Die Bezeichnung wurde verwendet, weil Phalanx2 ganz ähnlich vorgeht.

Phalanx2 und die Support Scripts, die innerhalb des Rootkits selbst liegen, können so konfiguriert sein, dass systematisch SSH-Schlüssel aus dem angegriffenen System gestohlen werden können. Diese SSH-Schlüssel werden sodann automatisiert an die Angreifer versandt. Diese verwenden sie dann, um weitere Sites und Systeme zu manipulieren und zu stören. Phalanx2 wird von dem Sicherheitsunternehmen Packet Storm als ein sich selbst installierendes Kernel Rootkit beschrieben, das speziell für Linux 2.6 geschrieben wurde. Es verfügt über Fähigkeiten zu File Hiding, Prozessverschleierung, tty Sniffer, tty Connectback-Backdoor und Auto Injection auf Boot-Ebene, hieß es.

Das Programm SSH (Secure Shell) ermöglicht sichere Rechner-Verbindungen mit Hilfe der SSH1- und SSH2-Protokolle. Dabei kann der Filetransfer, der zuvor mittels FTP lief, nur in Verbindung mit SSH2 genutzt werden. Die Dialog-Nutzung, die zuvor mit Telnet funktionierte, kann mit SSH1 und SSH2 ausgeführt werden. SSH ist heute auf nahezu allen Servern in Verwendung.