Neues Rootkit für Linux klaut SSH-Schlüssel

Laut US-CERT benutzen Angreifer derzeit gestohlene SSH-Schlüssel, um Linux-Umgebungen zu kompromittieren. Dazu benutzen sie ein neues Rootkit mit dem Namen Phalanx2. Die Schadsoftware übt die üblichen Rootkit-Aktivitäten aus und stiehlt sämtliche verfügbaren SSH-Schlüssel. Diese Keys benutzen die Angreifer dann, um in andere Maschinen einzudringen. Dies gilt vor allen Dingen für Authentifizierungen ohne Passwort. Möglicherweise benutzen Cracker die vor kurzer Zeit entdeckte Sicherheitslücke in Debian-basierten Systemen. Administratoren sollten, falls noch nicht geschehen, dringend die bereitgestellten Updates einspielen und die SSH-Schlüssel austauschen. Ebenso sollten Administratoren die Logdateien auf verdächtige Zugriffe von außerhalb überprüfen.

Zu entdecken ist Phalanx2, wenn sich ein Verzeichnis khubd.p2 unter /etc befindet. Dummerweise lässt sich dies nicht mittels ls feststellen, da das Verzeichnis versteckt ist. Es sollte sich aber via cd hineinwechseln lassen. Unter Umständen könnte sich das Verzeichnis auch an einer anderen Stelle befinden. Das Verzeichnis /dev/shm/ sollten Administratoren ebenfalls überprüfen. Tripwire, AIDE und Konsorten sollten in der Lage sein, Veränderungen am Dateisystem zu erkennen. (jdo)