Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

DFN-CERT warnt vor Linux-Rootkits

Bei einer aktuellen Einbruchswelle verstecken die Angreifer ihr Aktivitäten mit einem Linux-Kernel-Rootkit.

In Pocket speichern vorlesen Druckansicht 323 Kommentare lesen
Lesezeit: 2 Min.
Security
Von

Das Notfallteam des DFN warnt vor aktuellen Attacken, bei denen die Angreifer ihre Spuren mit einem Linux-Kernel-Rootkit verbergen. Damit Administratoren keinen Verdacht schöpfen, versteckt es bestimmte Verzeichnisse und Prozesse. Die Einbrüche erfolgten vermutlich über gestohlene SSH-Schlüssel.

In der Konfiguration, die die CERT-Experten auf kompromittierten Systemen vorfanden, blendet das Rootkit zum Beispiel das Verzeichnis /etc/khubd.p2/ aus. Man kann es zwar via cd betreten, ls -l /etc/ zeigt es jedoch nicht an. Doch die Konfiguration des Rootkits lässt sich leicht ändern, sodass dies kein ausreichender Test ist.

Das DFN-CERT schlägt derzeit zwei Methoden zur Erkennung des Rootkits vor. Beide machen sich zunutze, dass das Rootkit bestimmte Informationen nicht filtert. So korrigiert es zum einen den Link-Count von Verzeichnissen nicht. Dieser lässt sich mit ls anzeigen:

$ ls -al /tmp/
insgesamt 3844
drwxrwxrwt 14 root root   20480 2008-08-04 13:47 .
...

Hier hat tmp 14 Links. Meldet die Ausgabe von

ls -al /tmp/ | grep "^d" | wc -l

jedoch nur dreizehn Verzeichniseinträge, ist offenbar einer versteckt.

Der zweite Tipp bezieht sich auf die Tatsache, dass auch versteckte Prozesse noch Signale entgegennehmen, sie aber nicht im /proc/-Verzeichnis gelistet werden. Das folgende Skript sucht solche versteckten Prozesse:

#!/bin/bash
# Das Skript testet, ob es Prozesse im System gibt, die ein
# Signal annehmen, aber nicht in /proc aufgelistet werden.
for PID in `seq 1 65535`; do
 if kill -0 ${PID} 2>/dev/null
 then
   if ls /proc/*/task/*/cmdline | grep "/${PID}/cmdline" >/dev/null
   then
     true
   else
     CMD=`cat /proc/${PID}/cmdline`
     echo "PID ${PID} versteckt?! cmdline: '${CMD}'"
   fi
 fi
done

Auf älteren Systemen gibt es eventuell das task-Verzeichnis noch nicht, sodass man direkt mit /proc/*/cmdline arbeiten muss.

Auf beide Tests und insbesondere das Skript gibt es natürlich keine Garantie. Sie könnten sowohl ein vorhandenes Rootkit übersehen als auch falschen Alarm geben. Für einen definitven Befund ist eine genaue Analyse des Systems erforderlich. Wird ein aktives Rootkit entdeckt, bittet das DFN-Cert um Benachrichtigung unter "cert at dfn-cert.de". (ju)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten