mboost-dp1

SXC - clix

Nyt SSHD-rootkit opdaget – cPanel blandt de ramte

- Via SANS - Internet Storm Center - , redigeret af Pernicious

Et nyt rootkit er blevet spottet, som primært rammer RPM-baserede Linux-systemer. Det ser ud til at være baseret på meget af den samme kode, som var i trojanen Ebury, der blev opdaget tilbage i 2011.
Det vides endnu ikke præcist hvordan de ramte systemer bliver inficeret, men rootkittet er et meget grimt et af slagsen.

Ved inficering ændres biblioteket libkeyutils.so.1, hvor rootkittet er i stand til at hooke kritiske pam- og crypt-funktioner, som benyttes af SSHD under autentificering. Således bliver brugernes loginoplysninger opsnappet i det skjulte, og hackeren kan oprette listeners og få fuld adgang til det ramte system, på trods af at selve rootkittet kun kører i user-space.

Rootkittet sørger også for at slette hackerens spor ved at hooke funktionerne audit_log_user_message og audit_log_acct_message. Det kan derfor være svært at detektere et angreb, med mindre man specifikt tjekker integriteten af RPM-pakken keyutils-libs-1.2-1.e15. En anden metode er at undersøge brugen af shared memory, noget som rootkittet bruger til intern kommunikation, men som normalt ikke bliver brugt af SSHD.

Opretter man en SSH-forbindelse fra et kompromiteret system til et andet, risikerer man at rootkittet spreder sig til det nye system. Blandt ramte firmaer er cPanel, hvor rootkittet kan være spredt fra en eller flere workstations til deres klientservere. På deres forum fortælles der også hvordan man selv detekterer og løser problemet.





Gå til bund
Gravatar #1 - Felan
2. mar. 2013 07:28
Ja nu vi snakker om den slags, så er newz.dk blevet blokeret på OpenDNS med begrundelsen, malware. Check lige systemet...
Gravatar #2 - kasperd
2. mar. 2013 10:47
De nævner noget om et master password, men der står intet om hvad det master password er. Er det fordi det ikke er muligt at se hvad master password er? Der står heller ikke om det master password stadigvæk kan bruges, såfremt man har slået password autentificering fra på sin server. Personligt plejer jeg at konfigurere sshd så der kun kan bruges nøgle autentifikation. Det forhindrer også en kompromitteret server i at stjæle nøglen.

Felan (1) skrev:
så er newz.dk blevet blokeret på OpenDNS med begrundelsen, malware.
Det ville være rigtigt smart hvis OpenDNS kunne fortælle hvor man skulle kigge efter det malware. Yderligere diskussion af OpenDNS blokkering bør foregå i tråden oprettet til formålet.
Gravatar #3 - LordMike
2. mar. 2013 10:56
Yea... Bruger også kun PKI (som #2), så burde ikke blive ramt.
Nogen der ved hvordan man tjekker integritet på alle pakker på ens debian system?

Nvm.. Debsums pakken gør præcis det.
Gravatar #4 - Vandmand
2. mar. 2013 14:44
LordMike (3) skrev:
Yea... Bruger også kun PKI (som #2), så burde ikke blive ramt.
Nogen der ved hvordan man tjekker integritet på alle pakker på ens debian system?

Nvm.. Debsums pakken gør præcis det.


Et Debian system bruger traditionelt set heller ikke RPM pakker, saa du burde vaere forholdsvis sikker paa ikke at blive ramt.
Gravatar #5 - kasperd
2. mar. 2013 15:03
Vandmand (4) skrev:
Et Debian system bruger traditionelt set heller ikke RPM pakker, så du burde være forholdsvis sikker på ikke at blive ramt.
Der står at de ikke ved hvilken angrebsvektor der er blevet brugt til at placere trojanen på computerne i første omgang. Dermed kan man heller ikke sige noget om hvorvidt det gør nogen forskel, hvilket pakkesystem der anvendes.

Der står godt nok at det fortrinsvist rammer RPM baserede systemer. Men vil det sige at de kun har set infektioner på en specifik distribution? Eller vil det sige at de har set infektioner på mange forskellige distributioner baseret på forskellige pakkesystemer med en overvægt på et par RPM baserede distributioner?

Den manglende viden om angrebsvektoren kan enten skyldes at de ikke har analyseret trojanen til bunds endnu, eller at angrebsvektoren ganske enkelt ikke findes i trojanens kode.

Det er ikke utænkeligt at angrebsvektoren er brug af kombinationer af brugernavn og password som trojanen har indsamlet fra andre computere.
Gravatar #6 - zerpex
3. mar. 2013 09:49
'newz.dk' det er godt i ikke har et slogan der siger 'først med nyheder'

fordi denne rootkit har været kendt i et godt stykke tid, og folk med cpanel servere køre forhåbentligt csf, eller anden type af software firewall, som faktisk tjekker for denne rootkit.

Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login