20.11.2012 18:00
Rootkit befällt Linux-Webserver
Ein bislang unbekanntes Rootkit befällt Linux-Webserver, um Schadcode in die vom Server ausgelieferten Webseiten einzuschleusen. Das Rootkit wurde von einem Nutzer der Security-Mailingliste Full Disclosure entdeckt, der eine Beobachtung – einschließlich des fraglichen Kernel-Moduls – anschließend dort veröffentlicht hatte. Der Schädling fügt allen Webseiten ein iFrame hinzu, die der infizierte Server über den Proxy nginx ausliefert – sogar Fehlerseiten.
Wer eine Webseite auf dem Server aufruft, dessen Rechner wird anschließend über eine speziell präparierte Webseite attackiert, die in das iFrame geladen wird. Normalerweise nutzen Cyber-Kriminelle hierfür Exploit-Kits wie Black Hole, die das System des Webseitenbesuchers der Reihe nach auf diverse Schwachstellen in Flash, Java und Co. abklopfen. Findet das Exploit-Kit ein Schlupfloch, wird das System des Surfers mit Schadcode infziert. Der Server wird also letztlich missbraucht, um weitere Systeme – etwa schlecht gepflegte Windows-Rechner – mit Malware zu infizieren.
Eine Analyse des Linux-Rootkits hat der Antivirenhersteller Kaspersky Lab veröffentlicht. Demnach hat es der Rootkit.Linux.Snakso.a getaufte Schädling auf 64-Bit-Systeme abgesehen und wurde für die Kernel-Version 2.6.32-5 kompiliert, die in Debian Squeeze zu Einsatz kommt. Das Rootkit trägt eine die Zeile insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko in das /etc/rc.local-Skript ein, damit das Schadmodul bei jedem Systemstart ausgeführt wird.
Nach dem Start macht es die Speicheradressen einiger Kernel-Funktionen ausfindig, um sich anschließend in die Funktionen einzuklinken (Hooking). So kann es sich einerseits vor dem Anwender verstecken und andererseits den Netzwerkverkehr des Servers manipulieren. Seine Einsatzbefehle holt das Rootkit von einem Command-And-Control-Server (C&C-Server) ab. Laut Kaspersky könnte sich das Rootkit noch im Entwicklungsstadium befinden, da es mit Debug-Informationen kompiliert wurde.
Der Sicherheitsexperte Georg Wicherski hat den Schädling ebenfalls untersucht und nimmt an, dass der Enwickler noch nicht viele Erfahrungen mit dem Kernel gesammelt hat. Laut Wicherski stammt der Angreifer, der das Rootkit eingesetzt hat, vermutlich aus Russland.
Update vom 20.11.2012, 19:00: Zur besseren Verständlichkeit wurde die Meldung um einen Absatz ergänzt, der den möglichen weiteren Infektionsverlauf bei den Besuchern der ausgelieferten Webseiten beschreibt.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
