Rootkit für RHEL Linuxsysteme “SSHD Spam Exploit” erschienen

haxor-teh-matrix

Das kuerzlich erschienene Rootkit “SSHd Spam Exploit” greift die Tastatureingaben, die SSH Keys und die Passworthashes in der /etc/shadow Datei ab.

[rootkit:] Ein Programm, das Tatstatureingaben mitschneidet,
Systemprogramme kontrolliert, Fernwartungstrojaner

[exploit:] Programmcode zur Demonstration oder Ausnutzung einer Sicherheitsluecke
Ersten Beobachtungen nach, wird die Malware nicht nur zum Verschicken von Spam genutzt, sondern auch fuer weitere Attacken. Die Malware an sich benoetigt Root Rechte, um sich installieren zu koennen.
Es ist davon auszugehen, dass in Zukunft weitere, technisch ausgefeiltere Versionen erscheinen.
Das Rootkit erlaubt via fest einprogrammiertem Passwort den spurlosen Zugang zum kompromittierten System.
Es mehren sich momentan die Meldungen, dass auch nicht RHEL-basierte Systeme, wie Debian und Ubuntu befallen sind.

Die Malware ist kein SSH Exploit an sich, sondern nutzt SSH, um die gestohlenen Daten verschluesselt zu versenden.
AVG hat als einer der ersten Antivirenhersteller reagiert und die entsprechende Signatur bereits eingepflegt.

Das Rootkit laesst sich anhand seiner installierten Bibiliotheken finden:

Auf 64 Bit Systemen:
ls -la /lib64/libkeyutils.so.1.9
rpm -qf /lib64/libkeyutils.so.1.9

Auf 32 Bit Systemen:
ls -la /lib/libkeyutils.so.1.9
rpm -qf /lib/libkeyutils.so.1.9
// Der -qf Schalter zeigt an, aus welchem Paket libkeyutils installiert wurde

find / -name *libkeyutils*
// Gibt alle Dateien aus, die den Begriff libkeyutils enthalten

 

Tipps:

openssh

Beschraenken Sie Ihre SSH Zugaenge so weit es geht.
Da SSH-Zugaenge staendig auf schwache Passwoerter gescannt werden, stellt es eine gute Praxis dar, eine Passwordrichtlinie zu setzen, die
[ ] mindestens 10 Zeichen vorschreibt
[ ] Klein- und Grossbuchstaben vorschreibt
[ ] Zahlen und Sonderzeichen vorschreibt
[ ] keine Woerter aus einem Woerterbuch erlaubt
[ ] keine Passwoerter, wie qwertz123456 und test123456 erlaubt.

Es existieren Exploits, die nicht nur aus dem eingeschraenkten User einen Rootuser machen, sondern auch
Haertungsmassmassnahmen, wie SeLinux umgehen.

 

Automatisieren Sie den Updatevorgang auf Ihrem Redhat-basierten System

yum_sauce

Installation des automatischen Updatevorgangs:
yum install yum-cron

Die standardmaessig installierte Konfigurationsdatei unter /etc/sysconfig/yum-cron ist sofort lauffaehig.
Die Option RANDOMWAIT sollte aber auf RANDOMWAIT=”1″ gestellt sein.
Hiermit wird festgelegt, welchen zufaelligen Minutenzeitraum yum-cron
waehlt, um seine Updates runterzuladen.

Pakete, die man von den automatischen Updates ausschliessen moechte:
exclude=kernel* mysql* postgres*

Starten Sie nun den eben installierten yum-update daemon:
service yum-cron start

Testen Sie, ob yum-cron laeuft:
service yum-cron status

Der Output sollte sein:
Naechtliches yum-update ist aktiviert

Lassen Sie den yum-cron daemon automatisch bei Serverreboot starten:
chkconfig yum-cron on

Erstellen Sie optional, je nach gewuenschter Funktion, folgende Eintraege in der /etc/sysconfig/yum-cron:
# Default – Pruefe die Verfuegbarkeit fuer Updates, downloade sie und fuehre die Updates aus
CHECK_ONLY=no
DOWNLOAD_ONLY=no

# Downloade die Updates und maile einen Report
CHECK_ONLY=no
DOWNLOAD_ONLY=yes

# Keine Updates runterladen, nur einen Report per E-Mail versenden
CHECK_ONLY=yes
DOWNLOAD_ONLY=no

 

Der hiermit erstellte Cronjob ist sofort aktiv.