Categories: CybersicherheitVirus

Trojaner attackiert Linux-Server

Antivirensoftware-Hersteller Doctor Web erkennt zunehmend Angriffe auf Linux. In eigenen Untersuchungen dieser Vorfälle erkannte das Sicherheitsunternehmen insbesondere den Angreifer Linux.Sshdkit als Bedrohung: Der Trojaner stiehlt Passwörter auf Servern, die mit Linux betrieben werden. Erst durch eine “Daten-Entführung” habe man nachweisen können, dass die Malware Login-Daten an andere Server schickt.

Die Malware ist eine Library-Datei für 32- und 64-Bit-Linux-Versionen des freien Betriebssystems. Sie nutzt Lecks n den Servern aus, um an ihre Beute zu kommen. Wie sich der Trojaner verbreitet, sei noch nicht ganz klar. Derzeit besonders aktiv ist Sshdkit 1.2.1. Doch auch die frühere Variante 1.0.3 sei noch unterwegs und schon länger in Umlauf, berichtet der Security-Anbieter.

Ist die Malware erst einmal installiert, injiziert sie ihren Code in den sshd-Prozess und nutzt dessen Autorisierungs-Routinen. “Sobald eine Session gestartet wird und ein Nutzer seinen Benutzernamen und das Passwort eingegeben hat, sendet der Trojaner diese Informationen über UDP zu einem Remote-Server”, erklärt Doctor Web in seiner Warnmeldung. “Die IP vom Control Server ist in die Malware fest einprogrammiert. Der Trojaner erzeugt allerdings alle zwei Tage eine neue Befehls-Server-Adresse durch die Verwendung einer nicht-trivialen Routine”, erkennt das Sicherheitsunternehmen die Raffinesse des Schädlings an.

Linux.Sshdkit verwende einen speziellen Algorithmus um zwei DNS-Namen zu generieren, und wenn sich beide auf die gleiche IP-Adresse beziehen würden, werde diese Adresse zu einer anderen IP konvertiert – auf die der Trojaner die gestohlenen Informationen sendet.

Mit einer Umleitung als Falle (einem Sinkhole) “entführten” die Doctor Web-Analysten den Linux.Sshdkit-Kontroll-Server und bestätigten somit, dass der Trojaner gestohlene Log-in-Daten und Passwörter zu Remote-Hosts sendet.

Das Unternehmen empfiehlt, dass alle Administratoren von Linux-Servern einen System-Check durchführen. Wenn die Datei /lib/libkeyutils (von 20 bis 35 KByte) im System gefunden werde, sei es ein Zeichen für eine Infektion.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

View Comments

  • Fast richtig: Die Datei libkeyutils.so.1.3 ist z.B. bei Debian Squeeze per Default installiert. Ob das File modifiziert wurde kann folgendermassen überprüft werden:

    # cat /var/lib/dpkg/info/libkeyutils1.md5sums
    1c879a9d310b7ee6b15ffcff643107c3 usr/share/doc/libkeyutils1/copyright
    77c24043cc06ccb6332bc36bc2874d5b usr/share/doc/libkeyutils1/changelog.Debian.gz
    868d4a3cd978a29e7cde097c99884db7 lib/libkeyutils.so.1.3

    # md5sum /lib/libkeyutils.so.1.3
    868d4a3cd978a29e7cde097c99884db7 /lib/libkeyutils.so.1.3

    Sollte hier eine Diskrepanz auftreten empfiehlt sich eine Neuinstallation des Systems!

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago