20.11.2012 18:00
Rootkit befällt Linux-Webserver
Ein bislang unbekanntes Rootkit befällt Linux-Webserver, um Schadcode in die vom Server ausgelieferten Webseiten einzuschleusen. Das Rootkit wurde von einem Nutzer der Security-Mailingliste Full Disclosure entdeckt, der eine Beobachtung – einschließlich des fraglichen Kernel-Moduls – anschließend dort veröffentlicht hatte. Der Schädling fügt allen Webseiten ein iFrame hinzu, die der infizierte Server über den Proxy nginx ausliefert – sogar Fehlerseiten.
Wer eine Webseite auf dem Server aufruft, dessen Rechner wird anschließend über eine speziell präparierte Webseite attackiert, die in das iFrame geladen wird. Normalerweise nutzen Cyber-Kriminelle hierfür Exploit-Kits wie Black Hole, die das System des Webseitenbesuchers der Reihe nach auf diverse Schwachstellen in Flash, Java und Co. abklopfen. Findet das Exploit-Kit ein Schlupfloch, wird das System des Surfers mit Schadcode infziert. Der Server wird also letztlich missbraucht, um weitere Systeme – etwa schlecht gepflegte Windows-Rechner – mit Malware zu infizieren.
Eine Analyse des Linux-Rootkits hat der Antivirenhersteller Kaspersky Lab veröffentlicht. Demnach hat es der Rootkit.Linux.Snakso.a getaufte Schädling auf 64-Bit-Systeme abgesehen und wurde für die Kernel-Version 2.6.32-5 kompiliert, die in Debian Squeeze zu Einsatz kommt. Das Rootkit trägt eine die Zeile insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko in das /etc/rc.local-Skript ein, damit das Schadmodul bei jedem Systemstart ausgeführt wird.
Nach dem Start macht es die Speicheradressen einiger Kernel-Funktionen ausfindig, um sich anschließend in die Funktionen einzuklinken (Hooking). So kann es sich einerseits vor dem Anwender verstecken und andererseits den Netzwerkverkehr des Servers manipulieren. Seine Einsatzbefehle holt das Rootkit von einem Command-And-Control-Server (C&C-Server) ab. Laut Kaspersky könnte sich das Rootkit noch im Entwicklungsstadium befinden, da es mit Debug-Informationen kompiliert wurde.
Der Sicherheitsexperte Georg Wicherski hat den Schädling ebenfalls untersucht und nimmt an, dass der Enwickler noch nicht viele Erfahrungen mit dem Kernel gesammelt hat. Laut Wicherski stammt der Angreifer, der das Rootkit eingesetzt hat, vermutlich aus Russland.
Update vom 20.11.2012, 19:00: Zur besseren Verständlichkeit wurde die Meldung um einen Absatz ergänzt, der den möglichen weiteren Infektionsverlauf bei den Besuchern der ausgelieferten Webseiten beschreibt.
(rei)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
