Login
Newsletter
Werbung

Do, 21. Februar 2013, 13:42

Software::Web

SSHd-Spam-Exploit befällt Webmaster-Server

Mittels einer noch nicht bekannten Sicherheitslücke ist es einem Exploit möglich, im Netz verfügbare Webmasterserver als Spam-Schleuder zu missbrauchen. Betroffen von dem Problem sind laut Aussagen zahlreicher Anwender vor allem CentOS- und Debian-Systeme.

Darf man zahlreichen Meldungen in Webmasterforen Glauben schenken, so fand die letzten Wochen unter Linux eine Ausbreitung eines bis dato noch nicht bekannten Schädlings statt, der die Systeme zu Spam-Schleudern umkonfiguriert. Der noch unbenannte Exploit nistet sich unter /lib oder /lib64 ein und ersetzt die Systembibliothek libkeyutils.so gegen eine kompromittierte Variante. Bei der ersetzten Datei handelt es sich um eine Wrapper-Bibliothek für einen Zugriff auf das Sicherheitsmanagement des Systems.

Kompromittierte Systeme beinhalten laut Aussagen der betroffenen Administratoren eine neue Datei unter dem Namen libkeyutils.so.1.9 oder libkeyutils-1.2.so.2 (CentOS 5) und werden fortan als ein Zombie-Server missbraucht. Neben dem Versand von Spam ist es den Angreifern möglich, Kommandos an den Server mittels SSH zu senden. Dabei spielt es keine Rolle, unter welchem Port der eigentliche SSH-Server erreichbar ist und über welche Sicherheitsmechanismen er verfügt. Zudem ist davon auszugehen, dass die Angreifer einen direkten Zugriff auf die befallenen Server haben.

Die Aussagen über betroffene Systeme sind widersprüchlich. Nachdem ursprünglich lediglich CentOS-Systeme von dem Schädling befallen waren, scheinen nun auch vereinzelte Debian-Server kompromittiert worden zu sein. Über den Weg der Ausbreitung ist nichts bekannt. Betroffene Administratoren glauben allerdings an eine Infektion auf dem Userland- oder Daemonen-Level und nicht auf der Kernel-Ebene. Auch eine Infektion über installierte Web-Dienste ist nicht ausgeschlossen, so in einem Webmasterforum.

Administratoren wird im Moment geraten, den Inhalt und Änderungen unter /lib64 zu überprüfen. Sofern vorhanden, sollte der nächste Schritt die Entfernung der kompromittierten Dateien, das Zurücksetzen von /lib- oder /lib64-Links und die Änderung der Passwörter sein.

Werbung
Kommentare (Insgesamt: 17 || Alle anzeigen )
Re[5]: Nix SSHd (Anonymous, Sa, 23. Februar 2013)
Re[4]: Nix SSHd (Markus B., Sa, 23. Februar 2013)
Re[3]: Nix SSHd (.-,.-,.-,.-,.-,.-,, Fr, 22. Februar 2013)
Re: da muss man sich schon echt ungeschickt anstellen... (lkjsflk, Fr, 22. Februar 2013)
da muss man sich schon echt ungeschickt anstellen... (robiwan, Fr, 22. Februar 2013)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung