Sie sind nicht angemeldet.

Trojaner-Warnung: SSH-Keys und Passwörter in Gefahr

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

  • 1
  • 2

Fredl

Ubuntu-Forum-Team

  • »Fredl« ist der Autor dieses Themas

Beiträge: 11 331

  • Nachricht senden

1

26.02.2013, 16:01

Trojaner-Warnung: SSH-Keys und Passwörter in Gefahr

Auch wenn nach aktuellem Wissenstand hauptsächlich RPM-basierte Distributionen betroffen sein dürften, sollte man die Augen offen halten und wachsam sein. ISC Diary berichtet von einer manipulierten System-Library, die auf infizierten Servern abgelegt wird und den SSH-Dienst kompromittiert. Dieser sammelt daraufhin Passwörter und kann diese an eigens dafür eingerichtete Domains bzw. eine fest programmierte IP-Adresse weiterleiten. Zur Fernsteuerung des Trojaners wird auch ein backdoor installiert.
Weitere Infos: http://www.heise.de/newsticker/meldung/L…st-1810406.html

Unter DEB-basierten Systemen empfiehlt sich folgende Prüfung:

Quellcode

 
1

dpkg -l libkeyutils*
Lautet die Ausgabe:

Quellcode

 
1

Kein Paket gefunden, das auf libkeyutils* passt.
dann nutzt man dies Library nicht und kann daher nicht betroffen sein. Dies ist allerdings eher unwahrscheinlich, da diese von etlichen Verfahren zur Authentitätsprüfung benutzt wird. (u.a. für CIFS, NFS, ecryptfs, etc).
Wenn das Ergebnis eher so aussieht:

Quellcode

 
1

ii  libkeyutils1  1.4-1   Linux Key Management Utilities (library)
dann kann man die Unversehrtheit des Paketes mit dem tool "debsums" prüfen, welches normalerweise erst installiert werden muss:

Quellcode

 
1
2

sudo apt-get install debsums
debsums -a libkeyutils1
Wenn hier die Ausgaben nicht durchwegs "OK" lauten, sind umgehende Maßnahmen bis hin zur Neuinstallation angezeigt. Auf jeden Fall sollte der Rechner sofort vom Netz genommen werden!
Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.
me is all sausage
but don't call me Ferdl

.not

User

Beiträge: 762

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

2

26.02.2013, 16:28

Interessant fand ich, hier zitiert von Heise, ursprünglich gesehen woanders, folgende Stelle:

Zitat

Betroffen sind anscheinend vor allem RPM-basierte Systeme; wie die Angreifer auf die Server kommen, ist allerdings noch nicht bekannt.

Davon ausgehend dass man die Tätigkeit des Trojaners kennt müsste sich doch auch herausfinden lassen, über welche Sicherheitslücke er die Systeme infiziert. (Hab' übrigens schon alle Systeme getestet - bin unkompromittiert geblieben. \o/)

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

maja

User

  • »maja« ist männlich

Beiträge: 230

Registrierungsdatum: 29.10.2008

Derivat: Lubuntu

Architektur: 32-Bit PC

Desktop: XFCE

Andere Betriebssysteme: Debian8 +diverse

  • Nachricht senden

3

26.02.2013, 16:42

betroffen oder nicht!?

Danke Fredl, ich bin clean und habe wieder etwas gelernt. :thumbup:

Herzlich
MaJa
help me find my song and let me sing it
(Native American proverb)

GoldenerPhoenix

User

  • »GoldenerPhoenix« ist weiblich

Beiträge: 713

Registrierungsdatum: 12.03.2008

Derivat: Kein Ubuntu-Derivat

Architektur: 64-Bit PC

Desktop: XFCE

Andere Betriebssysteme: Arch Linux

  • Nachricht senden

4

26.02.2013, 18:29

Hier auch alles sauber bis jetzt, danke für die Info!
Laptop: Arch Linux (64 Bit, Xfce) | Linux Mint Debian Edition (64 Bit, Xfce) | Xubuntu 11.04 (64 Bit)
PC: Windows XP | Xubuntu 12.04 (32 Bit)
Server: Debian Wheezy (64 Bit)

Fredl

Ubuntu-Forum-Team

  • »Fredl« ist der Autor dieses Themas

Beiträge: 11 331

  • Nachricht senden

5

26.02.2013, 21:12

Gerne.

Aber wie gesagt, bis sich das auf debianoide Systeme verbreitet, könnte etwas dauern.
Wer einen Server betreibt und SSH darauf benötigt, sollte kein Problem haben, sich einen cronjob zur regelmäßigen Prüfung mit Mailversand im Ernstfall zu installieren.
Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.
me is all sausage
but don't call me Ferdl

maettu

User

  • »maettu« ist männlich

Beiträge: 3 299

Registrierungsdatum: 14.09.2005

Derivat: Xubuntu

Architektur: 64-Bit PC

Desktop: XFCE

  • Nachricht senden

6

26.02.2013, 21:34

Zitat

Wer einen Server betreibt und SSH darauf benötigt, sollte kein Problem
haben, sich einen cronjob zur regelmäßigen Prüfung mit Mailversand im
Ernstfall zu installieren.
Schon mal daran gedacht, dass man diesen "Test" auch manipulieren kann? Ich denke ein Cronjob mit dem Befehl erhöht die Sicherheit nicht.
Viel wichtiger wäre zu wissen, wie der Hacker ins System gekommen ist, das weiss im Moment noch niemand, oder?

Jake_Sully

User

Beiträge: 1

Registrierungsdatum: 26.02.2013

Architektur: 32-Bit PC

Desktop: XFCE

  • Nachricht senden

7

27.02.2013, 00:22

Zitat von »maja«

Danke Fredl, ich bin clean und habe wieder etwas gelernt. :thumbup: ...
Danke Fredl. Als ich vor ein paar Stunden die Heise-Warung las, konnte ich mein System nicht prüfen.

chroot

Ubuntu-Forum-Team

  • »chroot« ist männlich

Beiträge: 2 321

Registrierungsdatum: 04.03.2008

Derivat: Kein Ubuntu-Derivat

Architektur: 64-Bit PC

Desktop: KDE4

Andere Betriebssysteme: Fedora 27

  • Nachricht senden

8

27.02.2013, 08:31

Da die prüfsumme (+ berechnung) auch manipuliert sein kann, wäre das sicherste, ein vergleichbares/gleiches os in einer virtuellen umgebung ohne permanenten internetanschluss aufzusetzen und dort von den system libs bzw. ssh libs quasi eine master-prüfsumme zu erstellen. Damit kann man dann die prüfsummen alle anderen geräte vergleichen und muss sich nicht gedanken machen, ob nicht doch auch die prüfsumme manipuliert wurde.
"Do or do not. There is no try." (Yoda) || Thread auf gelöst/erledigt setzen

.not

User

Beiträge: 762

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

9

27.02.2013, 08:56

Wenn die Prüfsummenberechnung beziehungsweise debsums kompromittiert wurde hat man sowieso ein viel größeres Problem - höchstwahrscheinlich hatte dann ein Angreifer Zugriff auf die Paketverwaltungsinfrastruktur einer Distribution und kann noch viel schlimmere Dinge anrichten.

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

floogy

User

  • »floogy« ist männlich

Beiträge: 3 071

Registrierungsdatum: 10.03.2005

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: GNOME 3.0

Andere Betriebssysteme: debian

  • Nachricht senden

10

27.02.2013, 09:04

@chroot, wie meinst Du das? Man kann immer per wget, curl, ftp oder auf anderen Wegen md5sum etc. aus einer unkompromittierten Quelle bekommen und einzelne libs kontrollieren. z.B. geht das auch mit chrootkit oder rkhunter. Im verlinkten Artikel wird auch auf eine Virensignatur aufmerksam gemacht.

Natürlich ist es wichtig herauszufinden, wo die eigentliche Lücke bestand, um diese zu stopfen.

Wenn man aber den gesamten vm-Container als md5 berechnet, so ist er nicht vergleichbar, da es immer Temporäre Daten und Unterschiede zum Produktivsystem gibt, oder meintest Du da etwas anderes?

EDIT: Die Prüfsummen sind, wenn nicht aus Fremd-Quellen, ja nachprüfbar mit den Bordmitteln und mit den quellen der sources.list vergleichbar (siehe debsums). Man könnte die Pakete herunterladen und deren binaries mit den installierten auch manuell vergleichen.
Theoretisch geht das ja sauch bei den Fremd-Quellen. Aber man hat immer das Problem, ob man den Quellen vertraut odere nicht (das Problem gibt es ja im engeren Sinne selbst bei den offiziellen Quellen, wie man am Beispiel cPanel ja jetzt sieht).

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »floogy« (27.02.2013, 09:12)

maettu

User

  • »maettu« ist männlich

Beiträge: 3 299

Registrierungsdatum: 14.09.2005

Derivat: Xubuntu

Architektur: 64-Bit PC

Desktop: XFCE

  • Nachricht senden

11

27.02.2013, 09:36

Also bitte mal in die Manpage von "debsums" schauen, da steht ganz am Anfang;

Zitat

Verify installed Debian package files against MD5 checksum lists from
/var/lib/dpkg/info/*.md5sums.
folglich genügt es einfach die Datei "libkeyutils1\:i386.md5sums" in dem Verzeichnis zu bearbeiten! Hab mal testweise eine Zahl geändert und natürlich kam dann "FAILED" beim Test!
Logischerweise wird der Hacker da natürlich die "richtige md5sum" von seiner veränderten libkeyutils1 schreiben.
Das ganze ist also nicht mal so kompliziert, darum finde ich es auch nicht nötig den Test in einem Cronjob mehrmals durchzuführen.
Klar für einen Schnell-Test ist es gut genug.

Die bösen Root-Kits sind schon teilweise schwierig aufzuspüren, darum wäre es interessanter zu wissen wie der Hacker zunächst aufs System kam. Und dann diese Lücke zu patchen!

Zitat

höchstwahrscheinlich hatte dann ein Angreifer Zugriff auf die
Paketverwaltungsinfrastruktur einer Distribution und kann noch viel
schlimmere Dinge anrichten.
Wenn der Hacker eine System-Bibliothek austauschen kann, dann hat er wohl Root-Rechte. Es wurde auch nichts geschrieben wegen "speziellen Memory-Tricks", die unter speziellen Bedingungen funktionieren.
Der System ist schon kompromittiert, das ganze ist ein Rootkit .

floogy

User

  • »floogy« ist männlich

Beiträge: 3 071

Registrierungsdatum: 10.03.2005

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: GNOME 3.0

Andere Betriebssysteme: debian

  • Nachricht senden

12

27.02.2013, 09:53

Man kann mit dem Schalter -g für debsums die md5 neu generieren. Aber natürlich, einem kompromittierten System ist, wenn der Angreifer root-rechte erlangte, nicht mehr zu trauen.

http://debiananwenderhandbuch.de/debsums.html

.not

User

Beiträge: 762

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

13

27.02.2013, 10:07

Zitat von »maettu«

Wenn der Hacker eine System-Bibliothek austauschen kann, dann hat er wohl Root-Rechte. Es wurde auch nichts geschrieben wegen "speziellen Memory-Tricks", die unter speziellen Bedingungen funktionieren.
Der System ist schon kompromittiert, das ganze ist ein Rootkit .

Mir ist schon klar, dass es sich hierbei um ein Rootkit handelt. Ich bin davon ausgegangen dass du meinst dass jemand das Paket selbst, debsums, in den Paketquellen manipulieren könnte, nicht die lokalen Checksummen. Und um diese Manipulation durchzuführen hätte er Zugriff auf die Paketquellen gebraucht - wenn ein Angreifer diese hat ist sowieso alles verloren. (Das FreeBSD-Projekt ist sogar soweit gegangen nach einem Einbruch - ohne dass der Verdacht bestanden hätte dass sich der Angreifer an den Paketen zu schaffen gemacht hätte - die komplette Infrastruktur neu zu bauen.)

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von ».not« (27.02.2013, 10:13)

maettu

User

  • »maettu« ist männlich

Beiträge: 3 299

Registrierungsdatum: 14.09.2005

Derivat: Xubuntu

Architektur: 64-Bit PC

Desktop: XFCE

  • Nachricht senden

14

27.02.2013, 10:49

Zitat

dass du meinst dass jemand das Paket selbst, debsums, in den Paketquellen manipulieren könnte,
nein das war nicht die Idee. Aber als böser Hacker müsste man wohl die Software-Quellen über einen anderen Server laufen lassen. So in etwa einen Spiegelserver den der Hacker kontrolliert.

Da beim Ausführen von md5sums kein Paket heruntergeladen wurde, bin ich davon ausgegangen, dass er es wohl lokal irgendwie überprüfen muss. Was dann der Blick in die Manpage bestätigt hat.

Zitat

FreeBSD-Projekt ist sogar soweit gegangen nach einem Einbruch - ohne
dass der Verdacht bestanden hätte dass sich der Angreifer an den Paketen
zu schaffen gemacht hätte - die komplette Infrastruktur neu zu bauen.
Das ist ja alles richtig und wichtig! Ubuntu würde es wohl auch tun! Das kostet weniger als alles überprüfen.

.not

User

Beiträge: 762

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

15

27.02.2013, 10:52

Zitat

Da beim Ausführen von md5sums kein Paket heruntergeladen wurde, bin ich davon ausgegangen, dass er es wohl lokal irgendwie überprüfen muss. Was dann der Blick in die Manpage bestätigt hat.

.. auf welchen ich fauler Hund natürlich vergessen habe.

Zitat

Das ist ja alles richtig und wichtig! Ubuntu würde es wohl auch tun! Das kostet weniger als alles überprüfen.

Korrekt. Leider sind die Auswirkungen für ein (vergleichsweise) kleines Projekt leider auch deutlich größer. Sie kämpfen immer noch schwer damit.

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

Lippi

User

  • »Lippi« ist männlich

Beiträge: 317

Registrierungsdatum: 10.11.2009

Derivat: Ubuntu

Version: Ubuntu 18.04 LTS - Bionic Beaver

Architektur: 64-Bit PC

Desktop: Mate

  • Nachricht senden

16

27.02.2013, 11:01

Moin zusammen,
so, wie ich gehört habe, soll die Schwachstelle wohl CPanel sein...
mfg Lippi
Ich finde Ubuntu super, verstehe es nur noch nicht.

.not

User

Beiträge: 762

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

17

27.02.2013, 11:32

Eine Quelle zum Hörensagen wäre noch toll! ;)

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

floogy

User

  • »floogy« ist männlich

Beiträge: 3 071

Registrierungsdatum: 10.03.2005

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: GNOME 3.0

Andere Betriebssysteme: debian

  • Nachricht senden

18

27.02.2013, 12:13

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »floogy« (27.02.2013, 12:20)

.not

User

Beiträge: 762

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

19

27.02.2013, 12:55

Zitat

The current thinking is that this is a cPanel problem. They have mailed their customer list saying that they've discovered a server in their support department which has been compromised and that anyone who has raised a ticket with them in the last 6 months and allowed cpanel personnel root access to their server is probably also compromised due to credential sniffing.

Autsch.

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

floogy

User

  • »floogy« ist männlich

Beiträge: 3 071

Registrierungsdatum: 10.03.2005

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: GNOME 3.0

Andere Betriebssysteme: debian

  • Nachricht senden

20

27.02.2013, 13:24

Ja, ich bin ganz froh nicht auf solche webUIs zu setzen.
  • 1
  • 2

Ähnliche Themen