Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Botnet Windigo: Über 10.000 kompromittierte Linux-Server als Malwareschleudern missbraucht - Update

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

20.03.2014, aktualisiert 16:51 Uhr, 3488 Aufrufe, 8 Kommentare, 3 Danke

Es wird mal wieder Zeit für eine Überprüfung der Linux Server. Das Windigo-Botnet treibt sein Unwesen. Hier die einzelnen Schritte in Kuzform:

1. Überprüfe als erstes, ob überhaupt ein SSH-Server installiert ist. Hat Dein Linux System keinen SSH-Daemon und auch keinen "ssh"-Befehl funktioniert das Testscript natürlich nicht. Dann starte die Überprüfung mit Punkt 3.

2. Der Test sollte nicht auf einem System ausgeführt werden, das OpenSSH mit dem X.509-Patch von Roumen Petrov einsetzt. Dieser Patch fügt dem SSH-Daemon die Unterstützung für X.509-PKI-Zertifikate hinzu und enthält seit September 2013 eine -G Option. Normalerweise gibt es sonst die Option -G nicht (nur bei den infizierten Systemen meldet -G durch einen Fehler in der Programmierung einen Status).

3. Ist ein SSH-Server vorhanden und er hat keinen X.509-Patch (siehe Punkt 2), dann gebe im angemeldeten Zustand folgenden Befehl ein:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected" 
laut Sicherheitsforschern bei Eset testen, ob der Server schon Teil des Windigo-Botnets ist.

Erscheint "System infected" sollte man mit Schritt 4 das Ergebnis validieren:

4. Prüfe wie groß die Datei libkeyutils.so auf deinem System ist. Diese liegt normalerweise unter /usr/lib/ oder nur /lib/ und sollte unter 20 KB groß sein.

Man findet sie mit Hilfe des "locate"-Befehls:
locate libkeyutils.so
Bei mir erscheinen dann zwei Dateien (Ubuntu 12.04 LTS):
/lib/x86_64-linux-gnu/libkeyutils.so.1 
/lib/x86_64-linux-gnu/libkeyutils.so.1.4
Die erste Datei "/lib/x86_64-linux-gnu/libkeyutils.so.1.4" ist nur ein Link auf "libkeyutils.so.1.4".
Mit dem dir Befehl kann man sich die Größe anzeigen lassen:
dir /lib/x86_64-linux-gnu/libkeyutils.so.1.4 
-rw-r--r-- 1 root root 14360 Okt 17  2011 /lib/x86_64-linux-gnu/libkeyutils.so.1.4
Die Datei ist bei mir 17 KB groß. Normalerweise ist die lib ca 10 bis 20 KB groß.
Ist die Datei aber um die 30 KB groß, seid ihr wahrscheinlich mit dem Windigo Bot infiziert.

Weitere Informationen über die Testmöglichkeiten findet ihr unter Ist mein Linux Server mit dem Windigo Botnet infiziert?

Gruß
Frank
Mitglied: sk-it83
20.03.2014 um 11:19 Uhr
Hallo,

na geil, ich hab diesen Befehl mal durch die Console gejagt und bekomme ein " System infected", läuft...

Hast du ne Idee was ich da jetzt machen kann?

VG
Bitte warten ..
Mitglied: Frank
20.03.2014 um 12:07 Uhr
Hi @licorit,

die Sicherheitsforscher raten Alle zum "Neu aufsetzten des Systems", da man aktuell noch nicht ermitteln kann, welche weiteren Daemons infiziert sein könnten. Großes Sorry!

Hier noch ein Tipp für das neue System. Ändert den Defaultport (22) vom SSH Daemon auf irgendetwas anderes und schaltet ICMP per Firewall (also das Ping aus). Dadurch können Bots das eigene System nicht so schnell entdecken.

Man kann dem SSH Client den neuen Port mit "-p Portnummer" und dem scp-Client mit "-P Portnummer" mitgeben. Beispiel:
ssh -p 1234 name@server oder 
scp -P 1234 user@server:/Verzeichnis/Quelle ~/Ziel
Es gibt aber noch eine elegantere Lösung: Man legt im eigenen .ssh/ Verzeichnis eine Datei mit dem Namen "config" an (~/.ssh/config) und trägt folgendes ein:
01.
Host MeinServer1 
02.
Port 1234 
03.
User MeinLoginName 
04.
 
05.
Host MeinServer2 
06.
Port 4321 
07.
User MeinLoginName2 
Danach kennen alle ssh, scp, etc. Befehle den neuen Port und man kann sie wie gewohnt ohne Angabe des Ports ausführen.

Gruß
Frank
Bitte warten ..
Mitglied: sk-it83
20.03.2014 um 13:38 Uhr
Hm echt doof.

Es hat meine virtuelle Ubuntu Installation erwischt.... ich frag mich nur WIE das passieren konnte, das System stellt owncloud zur Verfügung und in der FW waren nur die Ports offen, die für den Betreib benötigt werden.

SSH hab ich nie benutzt um auf die den Server zu kommen...

Nachträglich die SSH Ports blocken bringt nix?

Echt ärgerlich grad, das System rennt gerade mal seit nem knappen Monat und dann sowas
Bitte warten ..
Mitglied: wiesi200
20.03.2014 um 13:58 Uhr
Zitat von sk-it83:

Echt ärgerlich grad, das System rennt gerade mal seit nem knappen Monat und dann sowas

Bei mir hat er auch "System infected" gemeldet. Nur da ist 100% kein SSH Zugang gegeben.
Ich würd mir das erst noch mal genauer ansehen bevor du ne neuinstallation machst.

Was sagt den der Befel "ssh" für sich alleine.
Bitte warten ..
Mitglied: Frank
20.03.2014, aktualisiert um 16:26 Uhr
Hi,

Nachträglich die SSH Ports blocken bringt nix?

Naja, auf deinem System könnte ein fremd modifizierter SSH-Daemon laufen. Klar kannst du jetzt die Ports zumachen und evtl. kann der Bot deinen Server kurzzeitig nicht mehr kontrollieren. Aber was hält ihn zurück, einen anderen Port von innen heraus aufzumachen? Ich denke dir bleibt nichts anderes übrig, als das System neu zu installieren. Wenn es eine VM ist kannst du evtl zu älteren Snapshots springen und den Test wiederholen.

SSH hab ich nie benutzt um auf die den Server zu kommen...

Aber er war installiert und hat auf Port 22 auf Verbindungen gewartet und geantwortet. Daher -> bei jedem neuen Rechner Port 22 auf irgendwas anderes verschieben und ICMP ausschalten!

Gruß
Frank
Bitte warten ..
Mitglied: Frank
20.03.2014 um 14:18 Uhr
Hi @wiesi200,

hier noch zwei Ergänzungen zur Bot Erkennung:

1) Man sollte prüfen wie groß die Datei libkeyutils.so ist. Die liegt normalerweise unter /usr/lib/ oder nur /lib/ und sollte unter 20 KB groß sein.

Man findet sie auch mit Hilfe des Befehls:
locate libkeyutils.so
Bei mir erscheinen dann zwei Dateien (Ubuntu 12.04 LTS):
/lib/x86_64-linux-gnu/libkeyutils.so.1 
/lib/x86_64-linux-gnu/libkeyutils.so.1.4
Die erste Datei "/lib/x86_64-linux-gnu/libkeyutils.so.1.4" ist nur ein Link auf "libkeyutils.so.1.4".
Mit dem dir Befehl kann man sich die Größe anzeigen lassen:
dir /lib/x86_64-linux-gnu/libkeyutils.so.1.4 
-rw-r--r-- 1 root root 14360 Okt 17  2011 /lib/x86_64-linux-gnu/libkeyutils.so.1.4
Sie ist bei mir als 17 KB groß. Normalerweise ist die lib ca 10 bis 20 KB groß.
Ist die Datei aber um die 30KB groß seid ihr wahrscheinlich mit dem Windigo Bot infiziert.

2) Der Test sollte nicht auf Systemen benutzt werden, die OpenSSH mit dem X.509-Patch von Roumen Petrov einsetzen. Dieser Patch fügt dem SSH-Daemon die Unterstützung für X.509-PKI-Zertifikate hinzu und enthält seit September 2013 eine -G Option. Normalerweise gibt es sonst die Option -G nicht (nur bei den infizierten Systemen meldet -G durch einen Fehler in der Programmierung einen Status).

Ich habe oben im Link die Informationen dazu ergänzt.

Gruß
Frank
Bitte warten ..
Mitglied: sk-it83
20.03.2014 um 16:24 Uhr
Ok vielen Dank für die zusätzliche Meinung @wiesi200 und auch Danke für den Hinweis mit der libkeyutils.so @Frank.

Also ich gehe jetzt mal davon aus das ich nicht infiziert bin, bzw. mein System ;)

Ich hab mir die grösse mal angeschaut und die beträgt gerade mal 13,7 kb (13.672 Bytes)

Des Weiteren habe ich in anderen Foren gelesen das es nur anschlägt wenn SSH installiert ist bzw. bei NICHT installiertem SSH bringt er dann halt die Meldung "Infected".

Leider kämpf ich gerade noch mit einem VPN Problem, werde morgen nochmal genauer prüfen.
Bitte warten ..
Mitglied: Frank
20.03.2014, aktualisiert um 17:52 Uhr
Hi @licorit,

ok, klingt logisch. Wenn gar kein SSH-Server installiert ist, dann kann das Test-Script oben natürlich nicht funktionieren. Ich ergänze diese Info oben im Text. Dann hast du ja nochmal Glück gehabt

Gruß
Frank
Bitte warten ..
Ähnliche Inhalte
Sicherheit
IoT Botnet wächst rasant
Information von transoceanSicherheit

Ein neuer IoT Botnet Sturm ist im Anmarsch Gruß Uwe

Debian
(Linux) SSL Update auf 1.2
Frage von lord-iconDebian3 Kommentare

Moin, ich hab Debian mit SSL 1.0.1t am laufen. Ein Plugin, wird nun aber zum 1.7 nur noch 1.2 ...

Linux
Meltdown und Spectre: Linux Update
Information von FrankLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Grafik
10.000+ Bilder auf 1 MB verkleinern
Frage von 124327Grafik8 Kommentare

Hallo zusammen, ich habe folgendes Problem: ich habe 10.000+ Bilder in den unterschiedlichsten Dateitypen (.jpg, .gif, .tiff, .bmp, etc). ...

Neue Wissensbeiträge
SAN, NAS, DAS
QNAP NAS Datenschutz-Loop nach Firmware-Update
Tipp von vanTast vor 5 StundenSAN, NAS, DAS

Moin, im allgemeinen Trend seine geänderten Datenschutzbedingungen den Kunden zukommen zu lassen kam die Firma QNAP auf die glorreiche ...

Datenschutz
DSGVO Datenschutzgesetz
Anleitung von 1Werner1 vor 6 StundenDatenschutz4 Kommentare

Moin, ja was ist das, da ist die DSGVO Datenschutzverordnung. Wie das Gesetz gibt es schon 2 Jahre? Nun ...

CPU, RAM, Mainboards
Neverending story
Tipp von keine-ahnung vor 1 TagCPU, RAM, Mainboards1 Kommentar

Da kommt man mit dem fixen gar nicht mehr hinterher und die CPU erreichen wieder Rechenleistungen im Bereich des ...

Multimedia & Zubehör
AVM Fritz USB WLAN Sticks schneller einschalten
Tipp von NetzwerkDude vor 3 TagenMultimedia & Zubehör4 Kommentare

Die AVM Fritz WLAN Sticks haben in der Firmware 2 Modis: Einmal als Massenspeicher und einmal als WLAN Netzwerkkarte ...

Heiß diskutierte Inhalte
PHP
Nach Umzug zu 1und1 bekomme ich beim Eintrag in die DB Tabelle folgenden Fehler
gelöst Frage von jensgebkenPHP35 Kommentare

INSERT command denied to user 'dbo45342345342231244'@'112.127.102.073' for table 'orders'

LAN, WAN, Wireless
Powerline über zwei Stockwerke optimieren
Frage von DultusLAN, WAN, Wireless31 Kommentare

Guten Morgen liebes Forum, ich hätte einmal eine Frage bezüglich Powerline Adapter: Mein Problem ist seit gestern präsent, da ...

Windows Userverwaltung
Problem mit Benutzerprofil
Frage von lieferscheinWindows Userverwaltung24 Kommentare

Guten Tag liebe Community, folgendes Problem habe ich: User meldet sich auf Client A an - sein Homelaufwerk verbindet. ...

Rechtliche Fragen
DSGVO - Impressum und Datenschutz auf Anmeldeseiten notwendig?
Frage von StefanKittelRechtliche Fragen20 Kommentare

Hallo, was mit gerade eingefallen ist. Muss man auf Anmeldeseiten auch ein Impressum und Datenschutzhinweis haben? Auch hier wird ...