Linux.Sshdkit greift Linux-Server an

Aufgrund der wachsenden Anzahl von Sicherheitsbedrohungen bezüglich dem Linux Webserver hat der Antivirensoftware-Hersteller Doctor Web eigene Untersuchungen durchgeführt. Das Ergebnis der Analysten: der von Doctor Web so genannte Trojaner Linux.Sshdkit stiehlt Passwörter auf Servern, die mit Linux betrieben werden.

Pierre Curien, Geschäftsführer bei Doctor Web: „Die Malware ist eine Library-Datei für 32- und 64-Bit-Linux-Versionen. Obwohl bisher unklar ist, wie sich der Trojaner verbreitet, scheint er kritische Schwachstellen auszunutzen, um sich auf angegriffenen Servern zu installieren. Version 1.2.1 ist die neueste Trojaner-Version, die Doctor Web bekannt ist, während eine der früheren Versionen 1.0.3 sich schon länger verbreitet hat.“

Nach erfolgreicher Installation, injiziert der Trojaner seinen Code in den sshd-Prozess und nutzt dessen Autorisierungs-Routinen. Sobald eine Session gestartet wird und ein Nutzer seinen Benutzernamen und das Passwort eingegeben hat, sendet der Trojaner diese Informationen über UDP zu einem Remote-Server. Die IP vom Control Server ist in die Malware fest einprogrammiert. Der Trojaner erzeugt allerdings alle zwei Tage eine neue Befehls-Server-Adresse durch die Verwendung einer nicht-trivialen Routine.

Linux.Sshdkit verwendet einen speziellen Algorithmus um zwei DNS-Namen zu generieren, und wenn sich beide auf die gleiche IP-Adresse beziehen, wird diese Adresse zu einer anderen IP konvertiert, auf die der Trojaner die gestohlenen Informationen sendet.

Doctor Web-Analysten verwendeten ein Sinkhole um einen Linux.Sshdkit Kontroll-Server zu hijacken und bestätigten somit, dass der Trojaner gestohlene Logindaten und Passwörter zu Remote-Hosts sendet.Die Routine die verwendet wird, um Command Server Adressen zu generieren ist im Diagramm beschrieben.

Die Signatur des Trojaners wurde der Virus-Datenbank von Doctor Web hinzugefügt. Doctor Web empfiehlt, dass alle Administratoren von Linux-Servern einen System-Check durchführen. Wenn die Datei /lib/libkeyutils* (von 20 bis 35 KB) im System gefunden wird, ist es ein Zeichen für eine Infektion.

Mehr zu diesen Themen

• Doctor Web stellt optimierte Version 8.0 von Dr.Web für Android vor

  23. Mai 2013, von Markus 'Markus S.' Schaffarz

• Dr. Web für Android über 15 Millionen Mal heruntergeladen

  18. März 2013, von Steffen 'S. Fölsch' Fölsch

• Doctor Web findet neue Betrugsmasche bei Facebook

  9. Mai 2012, von Andreas 'ResQ' Nix

• Doctor Web: Keine Entwarnung beim BackDoor.Flashback.39-Botnet

  23. April 2012, von Andreas 'ResQ' Nix

• Doctor Web entdeckt weltweites Botnet mit über 550.000 Macs

  5. April 2012, von Markus 'Markus S.' Schaffarz

• Mehr als 4 Millionen Anwender nutzen Dr. Web Antivirus light für Android

  6. März 2012, von Markus 'Markus S.' Schaffarz

• Doctor Web sorgt für Sicherheit beim Deutschen Eishockey-Bund

  31. Januar 2012, von Andreas 'ResQ' Nix

Themen

Teile diesen Artikel