ein kompromittierter Server ist in der Regel nur sehr schwer als ein solcher zu erkennen, da Angreifer sogenannte Rootkits installieren.
Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach einem Einbruch auf dem kompromittierten Server installiert wird, um zukünftige Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.
Auf diese Weise versuchen Eindringlinge ihre Spuren zu verwischen; "ls" zeigt bestimmte Dateien nicht an, "ps" listet diverse Prozesse des Eindringlings nicht auf und Logins werden nicht mitgeloggt. Zudem wird meist noch ein versteckter SSH-Daemon gestartet, der auf einem beliebigen Port auf Befehle wartet. Bei aktuellen Angriffen lässt sich zumindest (noch) in der Liste der offenen Verbindungen eine Vielzahl an Verbindungsversuchen auf SSH-Ports anderer Rechner beobachten. Zudem versucht sich der kompromittierte Server via IRC mit Bot-Netzen zu verbinden.
Zurzeit beobachten wir eine deutliche Zunahme von Angriffen auf Server, deren Software nicht auf dem aktuellen Stand ist. Angreifer versuchen auf diesem Weg, root-Zugriff auf den Servern zu erlangen. Bei einem erfolgreichen Einbruch wird häufig der übernommene Server wiederum als Rampe für weitere Angriffe auf dritte Systeme in Form von DoS-Attacken oder Brute-Force-SSH-Scans missbraucht.
Auf vielen Servern befinden sich derzeit immer noch unsichere Versionen des FTP-Servers ProFTPd. Wir empfehlen dringendst, entsprechende Sicherheitsupdates einzuspielen, den Dienst zu stoppen oder ggf. den FTP-Dienst zu ersetzen.
Stoppen können Sie den FTP-Dienst meist mittels /etc/init.de/xinetd stop
Weitere Informationen zur Sicherheitslücke in ProFTPd finden Sie im Kundenservicebereich in den Technischen News in den Beiträgen von 08.11.2010 und 12.11.2010.
Wir empfehlen Ihnen die regelmäßige Nutzung des Tools chkrootkit, das eine Vielzahl von Rootkits identifiziert. Die Installation erfolgt unter Debian und Ubuntu mittels "apt-get install chkrootkit", bei openSUSE mit "yast -i chkrootkit". Je nach verwendetem Repository kann die installierte Version von chkrootkit veraltet sein. Um die neuste Version zu erhalten, können Sie diese selbst aus dem Sourcecode erzeugen. Gehen Sie dazu als Benutzer root wie folgt vor:
cd /root
wget --passive-ftp
ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvzf chkrootkit.tar.gz
cd chkrootkit-0.49/
make sense
Führen Sie danach chkrootkit aus. Wenn Sie chkrootkit aus dem Repository Ihrer Distribution installiert haben, genügt der Aufruf von "chkrootkit". Wenn Sie chkrootkit selbst kompiliert haben, führen Sie bitte "/root/chkrootkit-0.49/chkrootkit" aus.
Lesen Sie sorgfältig die Ausgaben auf der Konsole.
Zeilen wie die folgenden sollen Sie alarmieren:
Checking ifconfig... INFECTED
Checking pstree... INFECTED
Searching for t0rns v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Checking bindshell... INFECTED (PORTS: 465)
chkproc: Warning: Possible LKM Trojan installed
Checking bindshell... INFECTED (PORTS: 465)
Checking chkutmp... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 15781 pts/0 -bash
Diese Zeilen sind nicht einfach nur Beispiele, sondern entstammen einem aktuellen Fall!
Ein weiteres Indiz dafür, dass Ihr Server kompromittiert ist, liegt in der Datei /root/.ssh/authorized_keys. Enthält diese SSH-Keys, die Ihnen nicht bekannt sind, so können Sie davon ausgehen, dass ein Angreifer auf Ihrem Server root-Zugriff erlangt hat.
Da chkrootkit nicht alle ausgetauschten Dateien findet und die händische Korrektur keine 100%-ige Sicherheit bietet, empfehlen wir Ihnen, bei einem solchen Fund umgehend eine Datensicherung durchzuführen und das System neu zu installieren. Nur so ist sichergestellt, dass keine Hintertür übersehen wird. Bitte verwenden Sie unbedingt neue Passwörter, da die alten dem Eindringling im Zweifel bereits bekannt sein dürften.
Bitte aktualisieren Sie nach der Neuinstallation regelmäßig die eingesetzte Software, um erneuten Einbrüchen vorzubeugen.
Bei den virtuellen Servern haben wir Abwehrmaßnahmen getroffen, um der Verbreitung der Angriffe entgegenzuwirken:
Wir haben gestern (30.11.2010), um ca. 20.45 Uhr eine Überwachung auf allen V-Server-Hardwarenodes aktiviert. Diese überprüft alle V-Server permanent, ob die Prozesse "/usr/sbin/sshd -p 59997" oder "dd_ssh" laufen und beendet diese dann vollständig. Dies sind aktuell Prozesse, die gestartet werden, nachdem das System von Dritten übernommen wurde (in erster Linie durch die Sicherheitslücke im ProFTPd). Zudem wird eine Firewall-Regel aktiviert, welche ausgehenden IRC-Traffic von diesem System nach außen verwirft. Diese Regel kann durch einen Reboot deaktiviert werden. Der "dd_ssh"-Prozess ist genau der Prozess, der SSH-Scans durchführt, eine ausgehende IRC-Verbindung herstellt und von dort Befehle empfängt. Der Prozess "sshd -p 59997" bietet eine offene Root-Shell für ein Login. Vorbeugend wird eine weitere Firewall-Regel für V-Server aktiviert, die eingehenden Traffic auf Port 21 verwirft, wenn eine verwundbare proftpd-Version gefunden wird.
Ihr STRATO Server Team.
![[HaBo]](/styles/default/logoklein.png){kind=small}
*g* )
