Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

BSI-Warnung: Zahlreiche deutsche Server mit Ebury-Rootkit infiziert

Information Sicherheit Erkennung und -Abwehr

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

28.02.2014, aktualisiert 00:38 Uhr, 5382 Aufrufe, 16 Kommentare, 5 Danke

Alle Linux/Unix Admins sollten jetzt ihre Server auf das Ebury-Rootkit testen. Das BSI hat eine entsprechende Warnung herausgegeben. Die Meldung ist zwar schon über eine Woche alt, aber auch ich kam leider jetzt erst dazu die Server zu testen.

Hier die Schnellanleitung für den Test. Eine genaue Anleitung, um den Rootkit zu erkennen findet ihr auf dieser BSI Seite.

1) Als Root folgenden Befehl in der Shell ausführen:

01.
ipcs -m
2) Ausgabe prüfen:

Erscheint folgende Ausgabe (oder ähnlich):
------ Shared Memory Segments -------- 
Schlüssel       shmid       Besitzer   Rechte     Bytes      nattch Status 
0x000006e0      65538       root        666       3283128    0
Dann sieht es nicht gut aus und ihr seid wahrscheinlich infiziert. Ebury legt ein paar Segmente mit mindestens 3 MByte mit vollen Rechten (666) an.

Erscheint diese Ausgabe:
------ Gemeinsamer Speicher: Segmente -------- 
Schlüssel shmid      Besitzer   Rechte     Bytes      nattch     Status
seit ihr höchstwahrscheinlich nicht betroffen.

Hier die Ebury FAQ Seite vom BSI:
https://www.cert-bund.de/ebury-faq

Viel Glück.

Mitglied: chri.s
28.02.2014 um 00:54 Uhr
Hallo Frank,

Danke für die Glückwünsche. Mir ist erstmal das Herz in die.. gerutscht, als es positiv ausfiel. Der zweite Blick hat das allerdings etwas relativiert. Bräuchte dazu aber unabhängiges Feedback/Zweitmeinungen.

Der "infizierte" Server ist Web und u.a auch OTRS Server, ausgabe war positiv. OTRS User, nachdem ich das OTRS Verzeichnis umbenannt habe -> wie "clean".

Zweitmeinung: Ist jeder OTRS "infiziert" oder nutzt OTRS nur "legitim" die Shared Memory Funktion, auf die hier getestet wird?

Werde nebenbei auch mal einen zweiten OTRS testweise aufsetzen und schauen, was sich da tut.

Schöne Grüße und danke für kurzes Feedback.

Chri.s
Bitte warten ..
Mitglied: Frank
28.02.2014, aktualisiert um 01:15 Uhr
Hi Chris,

schau mal unter der FAQ der BSI Seite: How can I verify my system is infected with Ebury? Da ist es noch detaillierter beschrieben. Schau Dir die Rechte im Shared Memory genau an: 666 sollte da in der Regeln nicht stehen.

Eine weitere Möglichkeit, wie man Ebury erkennen kann (als Verifikation) findest du unter dem Punkt I have a lot of additional machines on my Network. Is there a way to identify systems infected with Ebury by inspecting the network traffic? auf der BSI Seite.

Beispiel:

Mit
tcpdump  -p
kannst du Ebury auch in deinem Netzwerkverkehr finden: Such mal im Datenverkehr nach angeblichen DNS-Anfragen in Form von: 5742e5e76c1ab8c01b1defa5.[IP Adresse].

Auch kannst du mit Snort ein Script starten das einen Alarm auslöst, wenn Ebury gefunden wird. Dazu must du aber erst snort installieren.

01.
alert udp $HOME_NET any -> $EXTERNAL_NET 53 \ 
02.
(msg:"Ebury SSH Rootkit data exfiltration";\ 
03.
content:"|12 0b 01 00 00 01|"; depth:6;\ 
04.
pcre:"/^\x12\x0b\x01\x00\x00\x01[\x00]{6}.[a-f0-9]{6,}\ 
05.
(([\x01|\x02|\x03]\d{1,3}){4}|\x03::1)\x00\x00\x01/Bs";\ 
06.
reference:url,https://www.cert-bund.de/ebury-faq;\ 
07.
classtype:trojan-activity; sid:9000001; rev:1;)
Wie auch immer, wenn Ebury gefunden wurde, sollte man das System laut BSI komplett neu installieren.

Gruß
Frank
Bitte warten ..
Mitglied: chri.s
28.02.2014 um 01:40 Uhr
Das kommt mir entgegen, wollte das System sowieso mit Nginx neu aufsetzen.

Da das nun aber so ist schul ich noch meine Erkennungskenntnisse. Die Rule pack ich nur unter /etc/snort/rules/ebury.rules, und wie bekomme ich die Alerts (die Dumps und Snort sind bisher eher unauffällig).

Gruß,

Chri.s
Bitte warten ..
Mitglied: Epixc0re
28.02.2014 um 10:04 Uhr
Danke für den Tipp, hab gerade alle meine Server gecheckt (rund 200) - alle Clean.
Hab aber dennoch die Snort Rules übernommen!


lG,
Stefan
Bitte warten ..
Mitglied: Dobby
28.02.2014 um 11:13 Uhr
Hallo,

Auch kannst du mit Snort ein Script starten das einen Alarm auslöst,
wenn Ebury gefunden wird. Dazu must du aber erst snort installieren.
Danke dafür.

Man kann auch die SMS Servertools installieren und dann via Modem
auf sein Handy eine Alarmmeldung (SMS) von Snort erhalten.

Gruß ♪
Dobby♬
Bitte warten ..
Mitglied: nussystems
28.02.2014 um 16:38 Uhr
Wenn die Segmente kleiner als 3MB sind, kann man dann Entwarnung geben?
Hier ein Beispiel:

Gemeinsamer Speicher: Segmente --------
Schlüssel shmid Besitzer Rechte Bytes nattch Status
0x016ea258 9699328 root 600 1167812 12
0x796ea6cc 8519681 root 666 404 0


oder der hier:
Shared Memory Segments --------
key shmid owner perms bytes nattch status
0x0004e7b0 0 root 666 20564 0
0x015540f3 196609 root 600 1167812 12

Muss ich mir da Sorgen machen??

VG
Bitte warten ..
Mitglied: chri.s
28.02.2014 um 17:25 Uhr
Hallo Nus,

ich würde es auf jeden Fall beobachten. In meinem Fall (siehe oben) konnte ich die Nutzung auf OTRS eingrenzen und eliminieren, in dem ich die Verzeichnisse verschoben habe - außerdem scheint OTRS auch "so" das Modul zu nutzen, wie das bei dir ist ist fraglich.

Um eine genaue Analyse wirst du nicht herum kommen.
Bitte warten ..
Mitglied: nussystems
28.02.2014 um 17:29 Uhr
Hmm, wüsste nichts von OTRS auf dem betreffenden Server...
Werde dann wohl mal weiter schauen...

Danke!
Bitte warten ..
Mitglied: chri.s
28.02.2014 um 18:33 Uhr
Zitat von nussystems:

Hmm, wüsste nichts von OTRS auf dem betreffenden Server...
Werde dann wohl mal weiter schauen...

Danke!

War nur ein Beispiel. Es soll auch Programme geben, die die Funktion ordentlich nutzen.

Weiss jemand etwas von einer IP Liste, die betroffene Ausweisst? Kann man das irgendwo gegenprüfen?
Bitte warten ..
Mitglied: chri.s
01.03.2014 um 00:44 Uhr
Zitat von chri.s:

> Zitat von nussystems:
>
> Hmm, wüsste nichts von OTRS auf dem betreffenden Server...
> Werde dann wohl mal weiter schauen...
>
> Danke!

War nur ein Beispiel. Es soll auch Programme geben, die die Funktion ordentlich nutzen.

Weiss jemand etwas von einer IP Liste, die betroffene Ausweisst? Kann man das irgendwo gegenprüfen?

Update:
01.
root@debian:/opt/otrs/bin# ipcs -m 
02.
 
03.
------ Shared Memory Segments -------- 
04.
key        shmid      owner      perms      bytes      nattch     status 
05.
0x0052e2c1 557056     postgres   600        32342016   4 
06.
0x02a622c6 589825     root       777        32768      0 
07.
 
Bei einer komplett neuen Installation. Entweder sind die OTRS Pakete kompromitiert, oder das war ein false positive. Hat hier jemand einen OTRS im Einsatz? Ggf. anderes System als Debian 7?
Bitte warten ..
Mitglied: Anon0815
01.03.2014, aktualisiert um 15:33 Uhr
Die Ausgabe von icps -m

01.
------ Gemeinsamer Speicher: Segmente -------- 
02.
Schlüssel shmid      Besitzer   Rechte     Bytes      nattch     Status       
03.
0x00000000 262144     alex2      600        393216     2          zerstört        
04.
0x3c81b7f5 163841     alex2      666        4096       0                        
05.
0x00000000 884738     alex2      600        393216     2          zerstört        
06.
0x00000000 40009731   alex2      600        1048576    2          zerstört        
07.
0x00000000 2326532    alex2      600        393216     2          zerstört        
08.
0x00000000 35258373   alex2      600        8388608    2          zerstört        
09.
0x00000000 31162374   alex2      600        527220     2          zerstört        
10.
0x00000000 2555911    alex2      600        393216     2          zerstört        
11.
0x00000000 18448392   alex2      600        4074680    2          zerstört        
12.
0x00000000 2981897    alex2      600        1048576    2          zerstört        
13.
0x00000000 16449546   alex2      600        393216     2          zerstört        
14.
0x00000000 39682059   alex2      600        1048576    2          zerstört        
15.
0x00000000 45088780   alex2      600        524288     2          zerstört        
16.
0x00000000 5963789    alex2      777        1163520    2          zerstört        
17.
0x00000000 53149710   alex2      600        524288     2          zerstört        
18.
0x00000000 33128463   alex2      600        2097152    2          zerstört        
19.
0x00000000 6848528    alex2      600        393216     2          zerstört        
20.
0x00000000 45449233   alex2      600        4194304    2          zerstört        
21.
0x00000000 42237970   alex2      777        6330240    2          zerstört        
22.
0x00000000 6946835    alex2      600        524288     2          zerstört        
23.
0x00000000 40206356   alex2      777        875520     2          zerstört        
24.
0x00000000 41484309   alex2      600        393216     2          zerstört        
25.
0x00000000 51937302   alex2      600        393216     2          zerstört        
26.
0x00000000 50397207   alex2      600        8388608    2          zerstört        
27.
0x00000000 50987032   alex2      600        393216     2          zerstört        
28.
0x00000000 41680921   alex2      600        2097152    2          zerstört        
29.
0x00000000 41713690   alex2      600        393216     2          zerstört        
30.
0x00000000 52035611   alex2      600        524288     2          zerstört        
31.
0x00000000 51052572   alex2      600        26576      2          zerstört        
32.
0x00000000 23560221   alex2      600        393216     2          zerstört        
33.
0x00000000 52068382   alex2      600        393216     2          zerstört        
34.
0x00000000 52101151   root       600        393216     2          zerstört        
35.
0x00000000 52363296   root       600        393216     2          zerstört        
36.
0x00000000 52297761   root       600        2097152    2          zerstört        
37.
0x00000000 52330530   root       600        393216     2          zerstört        
38.
0x00000000 53215268   root       600        1048576    2          zerstört        
39.
0x00000000 52592677   root       600        393216     2          zerstört 

Ausgabe von find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;

01.
-rw-r--r-- 1 root root 13620 Apr 28  2013 /lib/i386-linux-gnu/libkeyutils.so.1.4
Scheint OK.


Ausgabe von chkrootkit
01.
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:   
02.
/usr/lib/jvm/.java-1.7.0-openjdk-i386.jinfo /usr/lib/pymodules/python2.7/.path 
03.
 
04.
Searching for Suckit rootkit...            Warning: /sbin/init INFECTED 
05.
 
06.
 
Suckit ist false-positive aber die python-libary gefällt mir nicht.


tcpdump -p hab ich jetzt mal nicht angehängt, sieht aber sauber aus.


Was meint ihr dazu?
Bitte warten ..
Mitglied: it-frosch
04.03.2014, aktualisiert um 11:25 Uhr
Hallo Anon0815,

Was meint ihr dazu?

Auf Debian 6 bekomme ich:
01.
 /usr/lib/pymodules/python2.6/.path  
und unter Ubuntu 12.04 LTS
01.
 /usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.7/.path 
Bei beiden Distris gibt es keine shared memory segments.

Unter CentOS 6.5 hatte ich auch den Suckit false-positiv, habe mit rkhunter gegen geprüft und es war alles ok.
Das scheint ein bug im chkrootkit zu sein (Quelle: http://askubuntu.com/questions/25176/chkrootkit-says-sbin-init-is-infec ...)


grüße vom it-frosch
Bitte warten ..
Mitglied: b.frenzel
06.03.2014 um 13:37 Uhr
Hallo zusammen,
ich habe hierfür einen Check_MK local check gebaut:

http://pastebin.com/Nt387sZ5

Viel Spaß damit!

Beste Grüße.

Benedikt

P.S.: Es funktioniert auch standalone ;)
Bitte warten ..
Mitglied: Frank
07.03.2014, aktualisiert um 17:45 Uhr
Hallo Benedikt,

ich habe hierfür einen Check_MK local check gebaut:
ja schade das du den Quellcode nicht hier hinzugefügt hast. Wir haben dafür extra unsere <code>Quellcode</code> Tags.

Gruß
Frank
Bitte warten ..
Mitglied: b.frenzel
07.03.2014, aktualisiert 14.03.2014
Das lässt sich ja nachholen:

01.
#!/bin/bash 
02.
#======================================================================= 
03.
# Filename		: check_ebury.sh 
04.
# Author		: Benedikt Frenzel 
05.
# Licence		:  
06.
# Input values	: none 
07.
# Purpose		: This script will check if your system is may be  
08.
# 				  infected by the ebruy rootkit for more information 
09.
#				  check: https://www.cert-bund.de/ebury-faq 
10.
# Disclaimer	: I can and will NOT  guarantee that this script will  
11.
#				  find the ebruy rootkit. This script will not remove  
12.
#				  the rootkit.  
13.
#                 The output format is check_mk local check compliante.  
14.
#======================================================================= 
15.
 
16.
# ---------------------------------------------------------------------- 
17.
# Independent variables 
18.
# ---------------------------------------------------------------------- 
19.
 
20.
# ---------------------------------------------------------------------- 
21.
# Dependent variables 
22.
# Nothing to change below this line. 
23.
# ---------------------------------------------------------------------- 
24.
 
25.
CHECKCOMAND="ipcs -m" 
26.
CHECKPERMS="666" 
27.
CHECKMEM="3283128" 
28.
 
29.
myPERMSRESULT=$(ipcs -m | grep ${CHECKPERMS} | wc -l) 
30.
if [ ${myPERMSRESULT} -gt 0 ]; then 
31.
	myMEMRESULT=$(ipcs -m | grep ${CHECKMEM} | wc -l) 
32.
	if [ ${myMEMRESULT} -gt 0 ]; then 
33.
		exitSTATUS=2 
34.
		exitSTRING="check_ebury - CRITICAL This system may be infected" 
35.
	else 
36.
		exitSTATUS=0 
37.
		exitSTRING="check_ebury - OK This system is clean" 
38.
	fi 
39.
else 
40.
		exitSTATUS=0 
41.
		exitSTRING="check_ebury - OK This system is clean" 
42.
fi 
43.
echo "${exitSTATUS} ${exitSTRING}"
EDIT: Habe die falsche Version hochgeldaden ;) Ist nun die Richtige und funktioniert.

EDIT2: Das Script befindet sich nun auch auf github https://github.com/befrenzeNET/monitoring-scripts/tree/master/check_mk_l ...
Bitte warten ..
Mitglied: Frank
21.03.2014 um 00:52 Uhr
Wichtiges Update:

Das Ebury-Rootkit ist nur ein Teil eines großen Bot-Netzwerks: Das Windigo Botnet. Hier findet ihr genauere Tests und weitere Informationen dazu:
Ist mein Linux Server mit dem Windigo Botnet infiziert?

Ihr solltet auf jeden Fall Eure Linux-Server prüfen!

Gruß
Frank
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows 10
gelöst Ransomware ( jetzt werden Server direkt infiziert!) (6)

Frage von 1Werner1 zum Thema Windows 10 ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...