Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Botnet Windigo: Über 10.000 kompromittierte Linux-Server als Malwareschleudern missbraucht - Update

Link Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

20.03.2014, aktualisiert 16:51 Uhr, 3352 Aufrufe, 8 Kommentare, 3 Danke

Es wird mal wieder Zeit für eine Überprüfung der Linux Server. Das Windigo-Botnet treibt sein Unwesen. Hier die einzelnen Schritte in Kuzform:

1. Überprüfe als erstes, ob überhaupt ein SSH-Server installiert ist. Hat Dein Linux System keinen SSH-Daemon und auch keinen "ssh"-Befehl funktioniert das Testscript natürlich nicht. Dann starte die Überprüfung mit Punkt 3.

2. Der Test sollte nicht auf einem System ausgeführt werden, das OpenSSH mit dem X.509-Patch von Roumen Petrov einsetzt. Dieser Patch fügt dem SSH-Daemon die Unterstützung für X.509-PKI-Zertifikate hinzu und enthält seit September 2013 eine -G Option. Normalerweise gibt es sonst die Option -G nicht (nur bei den infizierten Systemen meldet -G durch einen Fehler in der Programmierung einen Status).

3. Ist ein SSH-Server vorhanden und er hat keinen X.509-Patch (siehe Punkt 2), dann gebe im angemeldeten Zustand folgenden Befehl ein:
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected" 
laut Sicherheitsforschern bei Eset testen, ob der Server schon Teil des Windigo-Botnets ist.

Erscheint "System infected" sollte man mit Schritt 4 das Ergebnis validieren:

4. Prüfe wie groß die Datei libkeyutils.so auf deinem System ist. Diese liegt normalerweise unter /usr/lib/ oder nur /lib/ und sollte unter 20 KB groß sein.

Man findet sie mit Hilfe des "locate"-Befehls:
locate libkeyutils.so
Bei mir erscheinen dann zwei Dateien (Ubuntu 12.04 LTS):
/lib/x86_64-linux-gnu/libkeyutils.so.1 
/lib/x86_64-linux-gnu/libkeyutils.so.1.4
Die erste Datei "/lib/x86_64-linux-gnu/libkeyutils.so.1.4" ist nur ein Link auf "libkeyutils.so.1.4".
Mit dem dir Befehl kann man sich die Größe anzeigen lassen:
dir /lib/x86_64-linux-gnu/libkeyutils.so.1.4 
-rw-r--r-- 1 root root 14360 Okt 17  2011 /lib/x86_64-linux-gnu/libkeyutils.so.1.4
Die Datei ist bei mir 17 KB groß. Normalerweise ist die lib ca 10 bis 20 KB groß.
Ist die Datei aber um die 30 KB groß, seid ihr wahrscheinlich mit dem Windigo Bot infiziert.

Weitere Informationen über die Testmöglichkeiten findet ihr unter Ist mein Linux Server mit dem Windigo Botnet infiziert?

Gruß
Frank
Mitglied: sk-it83
20.03.2014 um 11:19 Uhr
Hallo,

na geil, ich hab diesen Befehl mal durch die Console gejagt und bekomme ein " System infected", läuft...

Hast du ne Idee was ich da jetzt machen kann?

VG
Bitte warten ..
Mitglied: Frank
20.03.2014 um 12:07 Uhr
Hi @licorit,

die Sicherheitsforscher raten Alle zum "Neu aufsetzten des Systems", da man aktuell noch nicht ermitteln kann, welche weiteren Daemons infiziert sein könnten. Großes Sorry!

Hier noch ein Tipp für das neue System. Ändert den Defaultport (22) vom SSH Daemon auf irgendetwas anderes und schaltet ICMP per Firewall (also das Ping aus). Dadurch können Bots das eigene System nicht so schnell entdecken.

Man kann dem SSH Client den neuen Port mit "-p Portnummer" und dem scp-Client mit "-P Portnummer" mitgeben. Beispiel:
ssh -p 1234 name@server oder 
scp -P 1234 user@server:/Verzeichnis/Quelle ~/Ziel
Es gibt aber noch eine elegantere Lösung: Man legt im eigenen .ssh/ Verzeichnis eine Datei mit dem Namen "config" an (~/.ssh/config) und trägt folgendes ein:
01.
Host MeinServer1 
02.
Port 1234 
03.
User MeinLoginName 
04.
 
05.
Host MeinServer2 
06.
Port 4321 
07.
User MeinLoginName2 
Danach kennen alle ssh, scp, etc. Befehle den neuen Port und man kann sie wie gewohnt ohne Angabe des Ports ausführen.

Gruß
Frank
Bitte warten ..
Mitglied: sk-it83
20.03.2014 um 13:38 Uhr
Hm echt doof.

Es hat meine virtuelle Ubuntu Installation erwischt.... ich frag mich nur WIE das passieren konnte, das System stellt owncloud zur Verfügung und in der FW waren nur die Ports offen, die für den Betreib benötigt werden.

SSH hab ich nie benutzt um auf die den Server zu kommen...

Nachträglich die SSH Ports blocken bringt nix?

Echt ärgerlich grad, das System rennt gerade mal seit nem knappen Monat und dann sowas
Bitte warten ..
Mitglied: wiesi200
20.03.2014 um 13:58 Uhr
Zitat von sk-it83:

Echt ärgerlich grad, das System rennt gerade mal seit nem knappen Monat und dann sowas

Bei mir hat er auch "System infected" gemeldet. Nur da ist 100% kein SSH Zugang gegeben.
Ich würd mir das erst noch mal genauer ansehen bevor du ne neuinstallation machst.

Was sagt den der Befel "ssh" für sich alleine.
Bitte warten ..
Mitglied: Frank
20.03.2014, aktualisiert um 16:26 Uhr
Hi,

Nachträglich die SSH Ports blocken bringt nix?

Naja, auf deinem System könnte ein fremd modifizierter SSH-Daemon laufen. Klar kannst du jetzt die Ports zumachen und evtl. kann der Bot deinen Server kurzzeitig nicht mehr kontrollieren. Aber was hält ihn zurück, einen anderen Port von innen heraus aufzumachen? Ich denke dir bleibt nichts anderes übrig, als das System neu zu installieren. Wenn es eine VM ist kannst du evtl zu älteren Snapshots springen und den Test wiederholen.

SSH hab ich nie benutzt um auf die den Server zu kommen...

Aber er war installiert und hat auf Port 22 auf Verbindungen gewartet und geantwortet. Daher -> bei jedem neuen Rechner Port 22 auf irgendwas anderes verschieben und ICMP ausschalten!

Gruß
Frank
Bitte warten ..
Mitglied: Frank
20.03.2014 um 14:18 Uhr
Hi @wiesi200,

hier noch zwei Ergänzungen zur Bot Erkennung:

1) Man sollte prüfen wie groß die Datei libkeyutils.so ist. Die liegt normalerweise unter /usr/lib/ oder nur /lib/ und sollte unter 20 KB groß sein.

Man findet sie auch mit Hilfe des Befehls:
locate libkeyutils.so
Bei mir erscheinen dann zwei Dateien (Ubuntu 12.04 LTS):
/lib/x86_64-linux-gnu/libkeyutils.so.1 
/lib/x86_64-linux-gnu/libkeyutils.so.1.4
Die erste Datei "/lib/x86_64-linux-gnu/libkeyutils.so.1.4" ist nur ein Link auf "libkeyutils.so.1.4".
Mit dem dir Befehl kann man sich die Größe anzeigen lassen:
dir /lib/x86_64-linux-gnu/libkeyutils.so.1.4 
-rw-r--r-- 1 root root 14360 Okt 17  2011 /lib/x86_64-linux-gnu/libkeyutils.so.1.4
Sie ist bei mir als 17 KB groß. Normalerweise ist die lib ca 10 bis 20 KB groß.
Ist die Datei aber um die 30KB groß seid ihr wahrscheinlich mit dem Windigo Bot infiziert.

2) Der Test sollte nicht auf Systemen benutzt werden, die OpenSSH mit dem X.509-Patch von Roumen Petrov einsetzen. Dieser Patch fügt dem SSH-Daemon die Unterstützung für X.509-PKI-Zertifikate hinzu und enthält seit September 2013 eine -G Option. Normalerweise gibt es sonst die Option -G nicht (nur bei den infizierten Systemen meldet -G durch einen Fehler in der Programmierung einen Status).

Ich habe oben im Link die Informationen dazu ergänzt.

Gruß
Frank
Bitte warten ..
Mitglied: sk-it83
20.03.2014 um 16:24 Uhr
Ok vielen Dank für die zusätzliche Meinung @wiesi200 und auch Danke für den Hinweis mit der libkeyutils.so @Frank.

Also ich gehe jetzt mal davon aus das ich nicht infiziert bin, bzw. mein System ;)

Ich hab mir die grösse mal angeschaut und die beträgt gerade mal 13,7 kb (13.672 Bytes)

Des Weiteren habe ich in anderen Foren gelesen das es nur anschlägt wenn SSH installiert ist bzw. bei NICHT installiertem SSH bringt er dann halt die Meldung "Infected".

Leider kämpf ich gerade noch mit einem VPN Problem, werde morgen nochmal genauer prüfen.
Bitte warten ..
Mitglied: Frank
20.03.2014, aktualisiert um 17:52 Uhr
Hi @licorit,

ok, klingt logisch. Wenn gar kein SSH-Server installiert ist, dann kann das Test-Script oben natürlich nicht funktionieren. Ich ergänze diese Info oben im Text. Dann hast du ja nochmal Glück gehabt

Gruß
Frank
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Linux
Linux-Server (IGEL UMS5) auf Windows umziehen (2)

Frage von Holywarrior1 zum Thema Linux ...

Sonstige Systeme
Internet Archive: 10.000 Amiga-Titel für den Browser aufbereitet

Link von Frank zum Thema Sonstige Systeme ...

Windows Update
Microsoft zahlt 10.000 US-Dollar für "Zwangsupdate" auf Windows 10

Link von magicteddy zum Thema Windows Update ...

Windows 10
Woman Wins $10,000 From Microsoft After Unwanted Windows 10 Upgrade

Link von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...