Linux-Rootkit manipuliert Webseiten

Experten von Kaspersky Lab haben ein Rootkit untersucht, das vom Betreiber eines Online-Dienstes mehr zufällig gefunden wurde. Es war aufgefallen, dass sich in der Standard-Fehlerseite eines Webservers ein iFrame befand, der dort nichts zu suchen hatte. Der Inhalt des iFrame kam von einem Server mit Schadsoftware. Nach weiteren Prüfungen stellte sich heraus, dass in alle Webseiten iFrames mit gefährlichen Inhalten eingeschmuggelt wurden und das dafür ein Modul des Linux-Kernels verantwortlich war.

Kaspersky hat dem Rootkit den Namen Linux.Snakso gegeben. Das Kernel-Modul module_init.ko des Rootkits wurde speziell für ein 64-Bit Debian Squeezy und Kernel 2.6.32-5-amd64 erstellt. Es ist mehr als 500 KByte groß und enthält noch Debug-Informationen. Außerdem arbeiten noch nicht alle Funktionen richtig. Deshalb nehmen die Experten an, dass sich das Rootkit noch in der Entwicklung befindet. Das Modul wird über einen insmod-Eintrag im Start-Script /etc/rc.local aktiviert. Danach hängt es sich in einige Kernel-Funktionen ein, um sich selbst zu verstecken. Die eigentliche Schadfunktion manipuliert über die System-Funktion tcp_sendmsg direkt die TCP-Datenpakete und schleust die iFrames ein. Das Rootkit erhält Befehle und Daten von einem Command & Control Server (C&C), zu dem es über eine verschlüsselte Verbindung Kontakt aufnimmt.

Eine detaillierte Analyse des Rootkits haben die Sicherheitsexperten von Crowdstrike in ihrem Blog veröffentlicht. Hier wird davon ausgegangen, dass es sich bei Linux.Snakso nicht um eine Variante bekannter Rootkits, sondern um eine Neuentwicklung aus der Hand noch unerfahrener Hacker handelt. Vor allem der unnötige iFrame in der Standard-Fehlerseite, der zur Entdeckung führte, deutet entweder auf einen frühen Entwicklungsstand oder auf wenig versierte Programmierer hin.

So schützen Sie sichSchadcode in iFrames ist mittlerweile eine beliebte Angriffsmethode. Letztlich handelt es sich dabei um eigenständige Webseiten innerhalb von Webseiten, deren Inhalt von fremden Servern stammen kann. Vom Besucher der Webseiten ist das nicht ohne weiteres zu erkennen. Schadcode kann den PC jedoch nur über Sicherheitslücken oder veraltete Plugins infizieren.

Wie Rootkit.Linux.Snakso auf den Server gelangen konnte, ist bisher nicht bekannt. Besitzer von Webservern sollten das System und die installierte Software stets auf dem neuesten Stand halten, um das Risiko einer Infektion mit Schadsoftware zu verringern. Es ist außerdem sinnvoll, regelmäßig die ausgelieferten Webseiten auf ungewöhnlichen Code hin zu untersuchen und auch unter Linux eine Antiviren-Software zu verwenden.