RedHat-Update entpuppt sich als Rootkit

Eine PishinGoogle-Mail mit dem Absender security@redhat.com sorgt für Aufregung. Das darin empfohlene Update der Systemdateien ls und mkdir entpuppte sich als Backdoor.

In der Mail mit dem Betreff "Red Hat: Buffer Overflow in 'ls' and 'mkdir'" wird dem Anwender dringend empfohlen, das System wegen angeblich kritischer Schwachstellen in diesen Dateien zu patchen. Verdächtig müsste erscheinen, dass die Quellen weder über das RedHat-Network zur Verfügung gestellt wurden, noch ein - wie bei RedHat üblich - fertiges RPM-Paket zur Verfügung gestellt wurde.


Die Sicherheitswebseite K-Optik ging diesem dubiosen "Update" auf den Grund.
Wie sich herausstellte, installiert das vermeintliche Update einen User "bin" mit administrativen Rechten und verschickt die aktuelle Systemkonfiguration und Uptime an eine E-Mail-Adresse. Der Rootkit startet zudem den SSHd, um das System von außen für den Angreifer erreichbar zu machen.


Generell sollten Updates ausschließlich von vom Hersteller genannten Quellen, im Fall von RedHat das RedHat-Network, heruntergeladen werden. (tle)

tecCHANNEL Buch-Shop

Literatur zum Thema Linux

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads