Rootkit befällt Linux-Webserver
Der Schädling schleust Schadcode in alle Webseiten ein, die der Server ausliefert – sogar in Fehlerseiten.
- Ronald Eikenberg
Ein bislang unbekanntes Rootkit befällt Linux-Webserver, um Schadcode in die vom Server ausgelieferten Webseiten einzuschleusen. Das Rootkit wurde von einem Nutzer der Security-Mailingliste Full Disclosure entdeckt, der eine Beobachtung – einschließlich des fraglichen Kernel-Moduls – anschließend dort veröffentlicht hatte. Der Schädling fügt allen Webseiten ein iFrame hinzu, die der infizierte Server über den Proxy nginx ausliefert – sogar Fehlerseiten.
Wer eine Webseite auf dem Server aufruft, dessen Rechner wird anschließend über eine speziell präparierte Webseite attackiert, die in das iFrame geladen wird. Normalerweise nutzen Cyber-Kriminelle hierfür Exploit-Kits wie Black Hole, die das System des Webseitenbesuchers der Reihe nach auf diverse Schwachstellen in Flash, Java und Co. abklopfen. Findet das Exploit-Kit ein Schlupfloch, wird das System des Surfers mit Schadcode infziert. Der Server wird also letztlich missbraucht, um weitere Systeme – etwa schlecht gepflegte Windows-Rechner – mit Malware zu infizieren.
Eine Analyse des Linux-Rootkits hat der Antivirenhersteller Kaspersky Lab veröffentlicht. Demnach hat es der Rootkit.Linux.Snakso.a getaufte Schädling auf 64-Bit-Systeme abgesehen und wurde für die Kernel-Version 2.6.32-5 kompiliert, die in Debian Squeeze zu Einsatz kommt. Das Rootkit trägt eine die Zeile insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko in das /etc/rc.local-Skript ein, damit das Schadmodul bei jedem Systemstart ausgeführt wird.
Nach dem Start macht es die Speicheradressen einiger Kernel-Funktionen ausfindig, um sich anschließend in die Funktionen einzuklinken (Hooking). So kann es sich einerseits vor dem Anwender verstecken und andererseits den Netzwerkverkehr des Servers manipulieren. Seine Einsatzbefehle holt das Rootkit von einem Command-And-Control-Server (C&C-Server) ab. Laut Kaspersky könnte sich das Rootkit noch im Entwicklungsstadium befinden, da es mit Debug-Informationen kompiliert wurde.
Der Sicherheitsexperte Georg Wicherski hat den Schädling ebenfalls untersucht und nimmt an, dass der Enwickler noch nicht viele Erfahrungen mit dem Kernel gesammelt hat. Laut Wicherski stammt der Angreifer, der das Rootkit eingesetzt hat, vermutlich aus Russland.
Update vom 20.11.2012, 19:00: Zur besseren Verständlichkeit wurde die Meldung um einen Absatz ergänzt, der den möglichen weiteren Infektionsverlauf bei den Besuchern der ausgelieferten Webseiten beschreibt. (rei)
