Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Botnet Windigo: Über 10.000 kompromittierte Linux-Server als Malwareschleudern missbraucht - Update

Link Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

20.03.2014, aktualisiert 16:51 Uhr, 3450 Aufrufe, 8 Kommentare, 3 Danke

Es wird mal wieder Zeit für eine Überprüfung der Linux Server. Das Windigo-Botnet treibt sein Unwesen. Hier die einzelnen Schritte in Kuzform:

1. Überprüfe als erstes, ob überhaupt ein SSH-Server installiert ist. Hat Dein Linux System keinen SSH-Daemon und auch keinen "ssh"-Befehl funktioniert das Testscript natürlich nicht. Dann starte die Überprüfung mit Punkt 3.

2. Der Test sollte nicht auf einem System ausgeführt werden, das OpenSSH mit dem X.509-Patch von Roumen Petrov einsetzt. Dieser Patch fügt dem SSH-Daemon die Unterstützung für X.509-PKI-Zertifikate hinzu und enthält seit September 2013 eine -G Option. Normalerweise gibt es sonst die Option -G nicht (nur bei den infizierten Systemen meldet -G durch einen Fehler in der Programmierung einen Status).

3. Ist ein SSH-Server vorhanden und er hat keinen X.509-Patch (siehe Punkt 2), dann gebe im angemeldeten Zustand folgenden Befehl ein:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected" 
laut Sicherheitsforschern bei Eset testen, ob der Server schon Teil des Windigo-Botnets ist.

Erscheint "System infected" sollte man mit Schritt 4 das Ergebnis validieren:

4. Prüfe wie groß die Datei libkeyutils.so auf deinem System ist. Diese liegt normalerweise unter /usr/lib/ oder nur /lib/ und sollte unter 20 KB groß sein.

Man findet sie mit Hilfe des "locate"-Befehls:
locate libkeyutils.so
Bei mir erscheinen dann zwei Dateien (Ubuntu 12.04 LTS):
/lib/x86_64-linux-gnu/libkeyutils.so.1 
/lib/x86_64-linux-gnu/libkeyutils.so.1.4
Die erste Datei "/lib/x86_64-linux-gnu/libkeyutils.so.1.4" ist nur ein Link auf "libkeyutils.so.1.4".
Mit dem dir Befehl kann man sich die Größe anzeigen lassen:
dir /lib/x86_64-linux-gnu/libkeyutils.so.1.4 
-rw-r--r-- 1 root root 14360 Okt 17  2011 /lib/x86_64-linux-gnu/libkeyutils.so.1.4
Die Datei ist bei mir 17 KB groß. Normalerweise ist die lib ca 10 bis 20 KB groß.
Ist die Datei aber um die 30 KB groß, seid ihr wahrscheinlich mit dem Windigo Bot infiziert.

Weitere Informationen über die Testmöglichkeiten findet ihr unter Ist mein Linux Server mit dem Windigo Botnet infiziert?

Gruß
Frank
Mitglied: sk-it83
20.03.2014 um 11:19 Uhr
Hallo,

na geil, ich hab diesen Befehl mal durch die Console gejagt und bekomme ein " System infected", läuft...

Hast du ne Idee was ich da jetzt machen kann?

VG
Bitte warten ..
Mitglied: Frank
20.03.2014 um 12:07 Uhr
Hi @licorit,

die Sicherheitsforscher raten Alle zum "Neu aufsetzten des Systems", da man aktuell noch nicht ermitteln kann, welche weiteren Daemons infiziert sein könnten. Großes Sorry!

Hier noch ein Tipp für das neue System. Ändert den Defaultport (22) vom SSH Daemon auf irgendetwas anderes und schaltet ICMP per Firewall (also das Ping aus). Dadurch können Bots das eigene System nicht so schnell entdecken.

Man kann dem SSH Client den neuen Port mit "-p Portnummer" und dem scp-Client mit "-P Portnummer" mitgeben. Beispiel:
ssh -p 1234 name@server oder 
scp -P 1234 user@server:/Verzeichnis/Quelle ~/Ziel
Es gibt aber noch eine elegantere Lösung: Man legt im eigenen .ssh/ Verzeichnis eine Datei mit dem Namen "config" an (~/.ssh/config) und trägt folgendes ein:
01.
Host MeinServer1 
02.
Port 1234 
03.
User MeinLoginName 
04.
 
05.
Host MeinServer2 
06.
Port 4321 
07.
User MeinLoginName2 
Danach kennen alle ssh, scp, etc. Befehle den neuen Port und man kann sie wie gewohnt ohne Angabe des Ports ausführen.

Gruß
Frank
Bitte warten ..
Mitglied: sk-it83
20.03.2014 um 13:38 Uhr
Hm echt doof.

Es hat meine virtuelle Ubuntu Installation erwischt.... ich frag mich nur WIE das passieren konnte, das System stellt owncloud zur Verfügung und in der FW waren nur die Ports offen, die für den Betreib benötigt werden.

SSH hab ich nie benutzt um auf die den Server zu kommen...

Nachträglich die SSH Ports blocken bringt nix?

Echt ärgerlich grad, das System rennt gerade mal seit nem knappen Monat und dann sowas
Bitte warten ..
Mitglied: wiesi200
20.03.2014 um 13:58 Uhr
Zitat von sk-it83:

Echt ärgerlich grad, das System rennt gerade mal seit nem knappen Monat und dann sowas

Bei mir hat er auch "System infected" gemeldet. Nur da ist 100% kein SSH Zugang gegeben.
Ich würd mir das erst noch mal genauer ansehen bevor du ne neuinstallation machst.

Was sagt den der Befel "ssh" für sich alleine.
Bitte warten ..
Mitglied: Frank
20.03.2014, aktualisiert um 16:26 Uhr
Hi,

Nachträglich die SSH Ports blocken bringt nix?

Naja, auf deinem System könnte ein fremd modifizierter SSH-Daemon laufen. Klar kannst du jetzt die Ports zumachen und evtl. kann der Bot deinen Server kurzzeitig nicht mehr kontrollieren. Aber was hält ihn zurück, einen anderen Port von innen heraus aufzumachen? Ich denke dir bleibt nichts anderes übrig, als das System neu zu installieren. Wenn es eine VM ist kannst du evtl zu älteren Snapshots springen und den Test wiederholen.

SSH hab ich nie benutzt um auf die den Server zu kommen...

Aber er war installiert und hat auf Port 22 auf Verbindungen gewartet und geantwortet. Daher -> bei jedem neuen Rechner Port 22 auf irgendwas anderes verschieben und ICMP ausschalten!

Gruß
Frank
Bitte warten ..
Mitglied: Frank
20.03.2014 um 14:18 Uhr
Hi @wiesi200,

hier noch zwei Ergänzungen zur Bot Erkennung:

1) Man sollte prüfen wie groß die Datei libkeyutils.so ist. Die liegt normalerweise unter /usr/lib/ oder nur /lib/ und sollte unter 20 KB groß sein.

Man findet sie auch mit Hilfe des Befehls:
locate libkeyutils.so
Bei mir erscheinen dann zwei Dateien (Ubuntu 12.04 LTS):
/lib/x86_64-linux-gnu/libkeyutils.so.1 
/lib/x86_64-linux-gnu/libkeyutils.so.1.4
Die erste Datei "/lib/x86_64-linux-gnu/libkeyutils.so.1.4" ist nur ein Link auf "libkeyutils.so.1.4".
Mit dem dir Befehl kann man sich die Größe anzeigen lassen:
dir /lib/x86_64-linux-gnu/libkeyutils.so.1.4 
-rw-r--r-- 1 root root 14360 Okt 17  2011 /lib/x86_64-linux-gnu/libkeyutils.so.1.4
Sie ist bei mir als 17 KB groß. Normalerweise ist die lib ca 10 bis 20 KB groß.
Ist die Datei aber um die 30KB groß seid ihr wahrscheinlich mit dem Windigo Bot infiziert.

2) Der Test sollte nicht auf Systemen benutzt werden, die OpenSSH mit dem X.509-Patch von Roumen Petrov einsetzen. Dieser Patch fügt dem SSH-Daemon die Unterstützung für X.509-PKI-Zertifikate hinzu und enthält seit September 2013 eine -G Option. Normalerweise gibt es sonst die Option -G nicht (nur bei den infizierten Systemen meldet -G durch einen Fehler in der Programmierung einen Status).

Ich habe oben im Link die Informationen dazu ergänzt.

Gruß
Frank
Bitte warten ..
Mitglied: sk-it83
20.03.2014 um 16:24 Uhr
Ok vielen Dank für die zusätzliche Meinung @wiesi200 und auch Danke für den Hinweis mit der libkeyutils.so @Frank.

Also ich gehe jetzt mal davon aus das ich nicht infiziert bin, bzw. mein System ;)

Ich hab mir die grösse mal angeschaut und die beträgt gerade mal 13,7 kb (13.672 Bytes)

Des Weiteren habe ich in anderen Foren gelesen das es nur anschlägt wenn SSH installiert ist bzw. bei NICHT installiertem SSH bringt er dann halt die Meldung "Infected".

Leider kämpf ich gerade noch mit einem VPN Problem, werde morgen nochmal genauer prüfen.
Bitte warten ..
Mitglied: Frank
20.03.2014, aktualisiert um 17:52 Uhr
Hi @licorit,

ok, klingt logisch. Wenn gar kein SSH-Server installiert ist, dann kann das Test-Script oben natürlich nicht funktionieren. Ich ergänze diese Info oben im Text. Dann hast du ja nochmal Glück gehabt

Gruß
Frank
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Ist mein Linux Server mit dem Windigo Botnet infiziert?
Anleitung von FrankErkennung und -Abwehr14 Kommentare

Da das Windigo Botnet sein Unwesen treibt, wird es mal wieder Zeit seinen eigenen Linux-Server genauer zu überprüfen. Hier ...

Sicherheit
IoT Botnet wächst rasant
Information von transoceanSicherheit

Ein neuer IoT Botnet Sturm ist im Anmarsch Gruß Uwe

Grafik
10.000+ Bilder auf 1 MB verkleinern
Frage von 124327Grafik8 Kommentare

Hallo zusammen, ich habe folgendes Problem: ich habe 10.000+ Bilder in den unterschiedlichsten Dateitypen (.jpg, .gif, .tiff, .bmp, etc). ...

E-Mail
Account für SPAM missbraucht, Tipps parat?
Frage von d4shoerncheNE-Mail42 Kommentare

Guten Morgen, ein Kollege von mir hat momentan ein paar Probleme mit seinem T-Online Mail Account. Über diesen wird ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 9 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 11 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server12 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server12 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Netzwerkgrundlagen
Laufwerkszuordnung mit zwei IPs
Frage von Alex29Netzwerkgrundlagen11 Kommentare

Hallo in die Runde, Ich als Hobbyadmin hätte mal wieder eine Frage an die Profis. Ich habe ein Netzwerk ...