[h=1]Rootkit befällt Linux-Webserver[/h]
Ein bislang unbekanntes Rootkit befällt Linux-Webserver, um Schadcode in die vom Server ausgelieferten Webseiten einzuschleusen. Das Rootkit wurde von einem Nutzer der Security-Mailingliste Full Disclosure entdeckt, der eine Beobachtung – einschließlich des fraglichen Kernel-Moduls – anschließend dort veröffentlicht hatte. Der Schädling fügt allen Webseiten ein iFrame hinzu, die das infizierte System über den Proxy nginx ausliefert – sogar in Fehlerseiten. In dem iFrame öffnet sich eine speziell präparierte Webseite, die den Rechner des Webseitenbesuchers attackiert.
Eine Analyse des Schädlings hat der Antivirenhersteller Kaspersky Lab veröffentlicht. Demnach hat es der Rootkit.Linux.Snakso.a getaufte Schädling auf 64-Bit-Systeme abgesehen und wurde für die Kernel-Version 2.6.32-5 kompiliert, die in Debian Squeezy zu Einsatz kommt. Das Rootkit trägt eine die Zeile insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko in das /etc/rc.local-Skript ein, damit das Schadmodul bei jedem Systemstart ausgeführt wird.
Nach dem Start macht es die Speicheradressen einiger Kernel-Funktionen ausfindig, um sich anschließend in die Funktionen einzuklinken (Hooking). So kann es sich einerseits vor dem Anwender verstecken und andererseits den Netzwerkverkehr des Servers manipulieren. Seine Einsatzbefehle holt das Rootkit von einem Command-And-Control-Server (C&C-Server) ab. Laut Kaspersky könnte sich das Rootkit noch im Entwicklungsstadium befinden, da es mit Debug-Informationen kompiliert wurde.
Der Sicherheitsexperte Georg Wicherski hat den Schädling ebenfalls untersucht und nimmt an, dass die Malware von einem fortgeschrittenen Anfänger entwickelt wurde, der noch nicht viele Erfahrungen mit dem Kernel gesammelt hat. Laut Wicherski stammt der Angreifer, der das Rootkit eingesetzt hat, vermutlich aus Russland.
Quelle: Heise.de
MfG. Homer