04.08.2008 15:15
Alert! DFN-CERT warnt vor Linux-Rootkits
Das Notfallteam des DFN warnt vor aktuellen Attacken, bei denen die Angreifer ihre Spuren mit einem Linux-Kernel-Rootkit verbergen. Damit Administratoren keinen Verdacht schöpfen, versteckt es bestimmte Verzeichnisse und Prozesse. Die Einbrüche erfolgten vermutlich über gestohlene SSH-Schlüssel.
In der Konfiguration, die die CERT-Experten auf kompromittierten Systemen vorfanden, blendet das Rootkit zum Beispiel das Verzeichnis /etc/khubd.p2/ aus. Man kann es zwar via cd betreten, ls -l /etc/ zeigt es jedoch nicht an. Doch die Konfiguration des Rootkits lässt sich leicht ändern, sodass dies kein ausreichender Test ist.
Das DFN-CERT schlägt derzeit zwei Methoden zur Erkennung des Rootkits vor. Beide machen sich zunutze, dass das Rootkit bestimmte Informationen nicht filtert. So korrigiert es zum einen den Link-Count von Verzeichnissen nicht. Dieser lässt sich mit ls anzeigen:
$ ls -al /tmp/
insgesamt 3844
drwxrwxrwt 14 root root 20480 2008-08-04 13:47 .
...
Hier hat tmp 14 Links. Meldet die Ausgabe von
ls -al /tmp/ | grep "^d" | wc -l
jedoch nur dreizehn Verzeichniseinträge, ist offenbar einer versteckt.
Der zweite Tipp bezieht sich auf die Tatsache, dass auch versteckte Prozesse noch Signale entgegennehmen, sie aber nicht im /proc/-Verzeichnis gelistet werden. Das folgende Skript sucht solche versteckten Prozesse:
#!/bin/bash
# Das Skript testet, ob es Prozesse im System gibt, die ein
# Signal annehmen, aber nicht in /proc aufgelistet werden.
for PID in `seq 1 65535`; do
if kill -0 ${PID} 2>/dev/null
then
if ls /proc/*/task/*/cmdline | grep "/${PID}/cmdline" >/dev/null
then
true
else
CMD=`cat /proc/${PID}/cmdline`
echo "PID ${PID} versteckt?! cmdline: '${CMD}'"
fi
fi
done
Auf älteren Systemen gibt es eventuell das task-Verzeichnis noch nicht, sodass man direkt mit /proc/*/cmdline arbeiten muss.
Auf beide Tests und insbesondere das Skript gibt es natürlich keine Garantie. Sie könnten sowohl ein vorhandenes Rootkit übersehen als auch falschen Alarm geben. Für einen definitven Befund ist eine genaue Analyse des Systems erforderlich. Wird ein aktives Rootkit entdeckt, bittet das DFN-Cert um Benachrichtigung unter "cert at dfn-cert.de".
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
