Ausgefeiltes Rootkit greift Linux-Server an

Derzeit kursiert im Internet ein neues Rootkit mit der Bezeichung SSHD-Spam-Exploit. Es zielt auf Linux-Server ab, auf denen Red-Hat-basierte 64- und 32-Bit-Linux-Systeme wie CentOS oder Cloudlinux laufen. Aber auch Archlinux oder Debian sollen betroffen sein. Hat sich das Rootkit erst einmal in einem Server eingenistet, verteilt es von dort aus massenhaft Spam-E-Mails. Darüber hinaus liest es die Passwörter betroffener Systeme aus und schickt die jeweiligen SSH-Schlüssel sowie die Passwortdatei /etc/shadow über eine SSH-Verbindung an einen Server in Moskau. Laut Beiträgen auf webhostingtalk installiert sich das Rootkit als Bibliothek unter /lib64/libkeyutils.so.1.9 oder /lib/libkeyutils.so.1.9 und setzt einen Link von libkeyutils.so.1 auf die Datei.

Über die genauen Verbreitungswege des Rootkits ist bislang noch nichts bekannt. Nutzer berichten allerdings von lokalen Angriffen über einen Keylogger. Dieser liest über eine geöffnete Administrations-Shell die Login-Daten eines Client-Rechners aus und schickt diese über den Port 53/UDP an den Server der Kriminellen. Es soll aber auch Angriffe aus der Ferne gegeben haben. Laut Beschreibungen von Opfern wurden dafür unterschiedliche Sicherheitslücken im Mailserver Exim, in der Ptrace-Funktion des Linux-Kernels oder im SSH-Daemon ausgenutzt.

Einige Anti-Malware-Scanner für Linux, etwa der von AVG, sind inzwischen in der Lage die schädlichen Dateien an ihrer Signatur zu erkennen. Eine Infektion lässt sich schnell aufdecken, indem Sie unter /lib beziehungsweise /lib64 nach der Datei libkeyutils.so.1.9 suchen und diese löschen.

Damit ist die Gefahr jedoch nicht gebannt, weil die ursächliche Sicherheitslücke wahrscheinlich noch vorhanden ist. Bis es ein Sicherheitsupdate gibt, sollten Sie daher den SSH-Server vor Fremdzugriffen schützen, etwa indem Sie den Zugang per Firewall oder Iptables nur von Ihrer eigenen IP-Adresse aus erlauben. Danach sollten Sie alle Passwörter auf dem Server neu setzen.