Linux Server auf Botnet Windigo testen

Der Sicherheitsspezialist ESET hat in dieser Woche über die Operation Windigo berichtet. Angeblich wurden seit 2011 mehr als 10 000 linuxbasierte Server von diesem Botnet befallen.

Über diverse Rootkits (Linux/Ebury, Linux/Cdorked, Linux/Onimiki oder Perl/Calfbot) verschafft sich das Botnet Zugriff auf SSH Zugangsdaten oder DNS.

Zusätzlich werden OpenSSH Dateien manipuliert (ssh, sshd, ssh-add). Bei neueren Versionen (Stand Februar 2014) des Rootkits wird angeblich die libkeyutils.so abgehändert und dadurch um einige KB größer.

Ein Befall durch das Botnetz lässt sich mit einem Konsolenbefehl überprüfen:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System sauber" || echo "System infiziert"

Sollte das System befallen sein, empfehle ich den Server komplett neu aufzusetzen, da durch die offenen Zugangsdaten zusätzliche Änderungen am System vorgenommen worden sein könnten.

linux-logo

Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.