BSI warnt Admins: "Zahlreiche deutsche Server mit Ebury-Rootkit infiziert"

Das Ebury-Rootkit ist keineswegs ein deutsches Problem; weltweit sind tausende Server mit der Schad-Software infiziert. Es handelt sich dabei um ein Rootkit, das sich auf Unix-artigen Systemen in die SSH-Programme einklinkt und so zum einen eine Hintertür zum System bereitstellt, zum anderen aber auch weitere Passwörter und SSH-Schlüssel von ankommenden und ausgehenden SSH-Sitzungen einsammelt. Infizierte Systeme dienen dann unter anderem auch dem massenhaften Spam-Versand oder werden für so genannte Drive-By-Exploits missbraucht.

heise Security hatte bereits vor einem Jahr über dieses SSH-Rootkit berichtet; unterdessen hat es offenbar weitere Verbreitung gefunden. Insbesondere haben die Angreifer auch noch raffiniertere Methoden entwickelt, sich in einem einmal kompromittierten System zu verstecken. Derzeit empfiehlt das CERT-Bund zwei Methoden, eine Ebury-Infektion zu entdecken: Auf dem Server selbst kann man sich mit dem Befehl 'ipcs -m' die Nutzung von Shared Memory zur Interprozess-Kommunikation anzeigen lassen. Ebury legt typischerweise ein oder mehrere Segmente mit mindestens 3 MByte mit vollen Rechten (666) an:

------ Shared Memory Segments --------
key        shmid      owner     perms      bytes     nattch
0x000006e0 65538      root      666        3283128   0

In Netzwerken lässt sich der Datenverkehr von Ebury aufspüren, der sich als DNS-Abfragen tarnt. Charakteristisch sind dabei lange Zahlen in hexadezimaler Darstellung als Host-Name vor einer IP-Adresse – also eine angebliche DNS-Anfrage nach etwas wie 5742e5e76c1ab8c01b1defa5.1.2.3.4

Betreiber von infizierten Systemen sollten diese wenn irgend möglich komplett neu installieren, empfiehlt CERT-Bund. Auf einer eigenen FAQ-Seite zu Ebury gibt das CERT-Bund weitere Informationen und stellt auch eine Snort-Regel bereit, mit der man das Netzwerk-Intrusion-Detection-System auf den verdächtigen Verkehr ansetzen kann. (ju)