Linux-Rootkits missbrauchen SSH-Dienst

Security-Spezialisten des Internet Stormcenters berichten über eine sehr spezielle Hintertür, die derzeit auf kompromittierten Linux-Servern vorgefunden wird. Dabei manipulieren die Einbrecher eine Bibliothek des SSH-Dienstes. Betroffen sind anscheinend vor allem RPM-basierte Systeme; wie die Angreifer auf die Server kommen, ist allerdings noch nicht bekannt.

Die Eindringlinge ersetzen offenbar die Bibliothek libkeyutils durch eine trojanisierte Version. Diese protokolliert unter anderem Passwörter mit, verschickt ihre Erkenntnisse ins Netz und stellt auch eine Hintertür für spätere Zugriffe bereit. Diese Vorgehensweise ist weniger auffällig, als der bereits bekannte Ansatz, direkt das Programm sshd zu manipulieren.

Ob das eigene System betroffen ist, kann man mit Hilfe des Paketmanagers RPM feststellen:

# rpm -qfV /lib*/libkeyutils*

Der Paketmanager überprüft dabei die MD5-Hashes aus seiner Paketdatenbank mit denen der vorgefundenen Dateien und meldet alle Abweichungen. Keine Ausgabe bedeutet also "alles okay", siehe auch man rpm unter "verify options".

Auf Debian-Systemen leistet das Utility debsums ähnliches, muss allerdings zunächst nachinstalliert werden. Prinzipiell könnte ein Rootkit diese Tests natürlich manipulieren; das war jedoch auf den analysierten Systemen nicht der Fall.

[Update 25.2.2013 17:30] Test mit rpm verbessert, um /lib64/ mit einzubeziehen; danke an Bernhard Wiedemann und Matthias Eckermann.

[Update 26.2.2013 9:30] Überprüfung mit rpm besser erklärt. (ju)