Windigo-Malware greift von 25.000 Linux-Servern an

Eine Malware hat weltweit nach bisherigen Erkenntnissen rund 25.000 Linux-Server infiziert und nutzt diese aus, um vor allem große Mengen an Spam an zahllose Nutzer zu verschicken. mehr... Horror, Monster, Wendigo Bildquelle: Camus Altamirano Horror, Monster, Wendigo Horror, Monster, Wendigo Camus Altamirano

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Oha LINUX wird hier missbraucht, ist ja mal eine abwechslung immer nur Windows zu lesen.
 
@Odi waN: Ich lese schon lange nicht mehr "nur" Windows. Was so was angeht, haben sich andere Betriebssysteme längst in die Microsoft Spur eingereiht.
 
@kkp2321: Ich bin auf deine Liste jüngerer Links gespannt, welche Sicherheitslücken beschreiben, die ohne einen manuell vom Admin/User gewährten Root-Zugang auskommen.
 
Odi waN: 25000 bei über 60% aller Webserver. Also 0.000001% der betroffenen Server :-) . Der Angriffsvektor ist übrigens ein Trojaner, der vom Serveradmin manuel mit root Rechten installiert werden muss. Also hat sich an der Sicherheitslage nichts geändert. Wer manuell Malware installiert, da kann dann auch das sicherste System nicht mehr helfen. Wirklich schlimm sind nur selbst verbreitende Malware, wie z.B. die Drive By Malware für Windows Systeme. Auf Windows Systeme konzentriert sich die Malware ja dann auch, weil für ein Linux System gibt es derzeit keine bekannte Drive By Angriffsmöglichkeit.
 
@curl: Es gab bereits auch Linux-Malware die sich über drive-by ausgebreitet hat.
 
@zwutz: Quelle für deine Behauptung?
 
@Odi waN: ja, ich war neulich ziemlich überrascht, als ich mir für linux den allerneuesten kernel installiert hab. die installation lief nicht problemlos und deinstallieren ließ sich der kernel auch nicht mehr. fazit: linux (mint) schnell neuinstallieren. root partition plattgemacht und /home weiter benutzt. so weit, so gut. zufällig guckte ich in den video ordner, was fand ich da? eine kazam videodatei, 3 mb groß und kaputt. kazam ist ein tool zum aufnehmen des desktops. ich habs nicht benutzt, also hab ich mir mit dem neuen kernel unwissentlich einen trojaner installiert. dank meiner schnellen reaktion und schnellem reboot sowie neuinstall konnte schlimmeres verhindert werden. an windows user: linux ist längst nicht mehr frei von malware, allerdings muß malware mir root rechten (adminrechte) installiert werden. und an die linux user: installiert euch bloß nicht euren kram von irgendwelchen webseiten, nutzt IMMER offizielle quellen! (was ich in diesem fall nicht tat)
 
"und auf Kernel.org, wo die Linux-Kernel bereitgestellt werden." Hatten die nicht schon neulich Probleme mit einem Hack?
 
@Knerd: Ja vor Jahren wurde die Webseite mal gehackt. Aber Webseiten, Twitter Accounts ect werden ständig gehackt ....
 
@curl: Gute Güte wie die Zeit vergeht, das war 2011 :D
 
@Knerd: ich frage mich warum man ein minus gibt aber ja das hatten sie, mir ist nämlich auch so.
 
Also die Systemadministratoren die ich kenne, sind alles alte faule Säcke die ihre Systeme so gut wie nie updaten, bzw erst wenn solche News erscheinen. Jetzt haben die endlich wieder was zu tun, anstatt nur Kaffee zu schlürfen.
 
@w4n: Ich wünsche dir in allen System einen Total Ausfall im privaten sowie geschäftlichen Bereich, am besten wenn alle Festplatten kaputt gehen damit du heulend zu einem Admin antanzen musst damit er deinen A*** retten soll!
 
Tja, Linuxjünger... von wegen Linux ist sicher! Kein System ist sicher! Auf Linux hatte man es augenscheinlich nur nicht so stark abgesehen wobei 2,5Jahre nahezu unentdecktes Verbreiten auf 10.000Server(!) schon ne ziemliche Hausnummer ist^^
 
@bLu3t0oth: Angriffsvektor ist ein Trojaner, der vom Armin mit Rootrechten installiert werden muss. Es sind nicht mal 0.001% infizierte Rechner.
 
@curl: Ach Mensch Curl, komm doch hier nicht gleich mit der Wahrheit an... Lass doch den MS-Freunden mal ihren Spaß und lass sie in dem Glauben, dass es eine Schwachstelle im Linux sei.
 
@bLu3t0oth: Also hat man in 2,5Jahren 10.000 Dumme gefunden, die unter Linux einen Trojaner installieren, das dauert unter Windows keine Woche ;)
 
@OttONormalUser: 10.000 Dumme finden? Das schafft Facebook in Sekunden. :-)
 
Das Fazit habt ihr beim abschreiben wohl übersehen? Zitat: "Die Ebury Backdoor, die von 'Operation Windigo' eingesetzt wurde, nutzt nicht die Schwächen von Linux oder OpenSSH aus", sagt Léveillé weiter. "Stattdessen wird sie vom Angreifer manuell installiert. Es ist beängstigend, dass die cyberkriminelle Gruppe dies auf Tausenden von unterschiedlichen Servern erfolgreich vorgenommen hat. Während Antiviren-Programme und Zwei-Faktor-Authentifizierung auf Clients üblich sind, werden sie nur selten zum Schutz von Servern eingesetzt. Das macht sie in Bezug auf den Diebstahl von Zugangsdaten und Malware-Platzierungen durchaus angreifbar." Für ein größeres Maß an Schutz sollte daher in Zukunft darüber nachdacht werden, auch hier Technologien wie die Zwei-Faktor-Authentifizierung anzuwenden, schreibt ESET." Quelle: http://goo.gl/CKPLhD
 
Weiß einer wie das Kommando oben weitergeht ? Sieht abgeschnitten aus und denke nicht, dass es mit "echo" beendet ist.
 
@Niclas: $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
 
@OttONormalUser: Ok, für einen Linux-Laien: wenn auf meinem RPi (hängt am Internet) die Meldung kommt: "System infected", kann ich dann davon ausgehen, dass dies der Fall ist ?
Was genau macht der Befehl, um zum jeweiligen Ergebnis zu kommen ? Konnte dazu nichts finden.

*EDIT* Habe die Post weiter unten leider eben erst gelesen. Schaue mir mal die Quelle an. Zudem ist auf meinem RPi SSH aktiv - bewusst.
 
@Niclas: Der Parameter -G gibt bei einem sauberem System einen Fehler aus, was er bei einem Infiziertem nicht tut. Ob du betroffen bist hängt davon ab, ob SSH installiert ist oder nicht. Lässt sich schlecht erklären das ganze, lies meinen Link in 8re1.
 
@OttONormalUser: Ok, im Abschnitt "Indicators of Compromise (IOCs)" ist alles nötige erklärt. SSH ist bei mir installiert und wird von mir genutzt. Aber die Prüfung des RAMs und der Prozesse ergab nichts auffälliges. Insofern bezog sich die Meldung offenbar auf installiertes SSH.
 
Ah, ich dank' Dir !
 
Hi, ich nutze Xubuntu 12.04.4 und bekomme die Meldung "System infected".
Also auf die Schnelle einen Stick formatiert, Xubuntu 14.04 Daily gezogen und mit Unetbootin auf den frisch formatierten Stick gepackt.
Rechner neu starten, vom Stick booten, mein Wlan aktivieren und besagte Schnelltestzeile im Terminal eingeben. Ausgabe:
"System infected"
Meine Bitte an die Winfuture-Redaktion: Noch einmal nachrecherchieren.
Danke
 
@dericebaer: Steht aber in der Quelle genauso, kann es aber leider gerade nicht selbst probieren. Quelle: http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury --- Sehr weit unten Abschnitt: Indicators of Compromise (IOCs)
 
@dericebaer: Also auf ein paar getesteten SLES Servern von Kunden kommt "System clean"... Kopier es dir mal vorher in einen Texteditor und kopiere es dann daraus noch einmal...
 
@Puncher4444:
Done! Diese Ausgabe bleibt, auch mit "sudo".
Wenn ich aber den von OttONormal mitgegebenen Link mal so eben richtig(?) übersetzt habe, dann betrifft das Desktop-PC's garnicht, solange sie keine Server sind. Hier hört es aber für mich zugegebenermaßen intellektuell auf.
Beschäftige ich mich also wieder mit Dingen, von denen ich etwas verstehe. :D
Danke für die Hinweise!
 
@dericebaer: Wird wahrscheinlich daran liegen, Zitat Ubuntuusers-Wiki: "Der SSH-Server: Im Gegensatz zum SSH-Klienten ist der SSH-Server unter Ubuntu standardmäßig nicht installiert" ;)
 
@OttONormalUser:
dachte ich es mir doch, dass es besser ist, nicht gleich bei uu einen neuen Thread aufzumachen und die Pferde wild zu machen.
Dann sollte die WF-Redaktion aber hier noch eine Klarstellung nachliefern. Imerhin ist die Gemeinde gebeutelt genug...
 
Komisch, habe einen einen Server neuinstalliert gerade mit Debian Wheezy, neuste Updates eingespielt. Der Server ist nicht per SSH von aussen erreichbar.

"System infected"
 
@champagner: Rufe am besten mal die Quelle unter Quelle: http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury und schau ganz unten im Abschnitt "Indicators of Compromise (IOCs)" nach. Dort findest Du eine Anleitung wie Du Speicher und Prozesse prüfen kannst. Vergleiche Deine Ergebnisse mit den Bildchen auf der Website, um zu sehen ob bei Dir etwas faul ist oder nicht.
 
@champagner:
Hier noch eine Meldung zum Thema:

http://www.golem.de/news/botnet-windigo-10-000-kompromittierte-linux-server-als-malwareschleudern-1403-105250.html
 
Im Internet haben die doch immer gesagt, Linux ist sicher?!
 
@dognose: Es wurde auch gesagt "Keiner hat die Absicht eine Mauer zu errichten" und "Berlin wird einen neuen Flughafen bekommen" und? :D
 
@dognose:
Frage: Wer oder was ist "Linux"? Egal...
hier ein Link zur Veranschaulichung:
http://www.pro-linux.de/news/1/20562/servermarkt-x86-und-linux-weiter-auf-dem-vormarsch.html

Ist ja alles nicht schön, aber ich bin ziemlich sicher, dass dieses Problem in Kürze gelöst sein wird.
Jetzt sind allerdings und in der Tat die Administratoren gefragt.
Möglich, dass die eine oder andere Kaffeepause mal ausfällt... :D
Schönen Abend!
 
@dognose: ist es auch. Nur sollte man Software nur von vertrauenswürdigen Seiten installieren, statt von Rapidshare und Co.
 
@curl: Zwischen Sicherheit und Unsicherheit liegt bei Linux auch nur das Kennwort des Nutzers "root" oder eines anderen SU. Linux ist demnach auch nur so sicher, wie das Handeln des Bedieners es zuläßt.
 
@departure: Schön gesagt, allerdings ist bei Linux ein Kennwort und ein Rootkonto Pflicht, während bei den meisten Windowsinstallationen nur eine UAC Abfrage (die nach dem 50stem erscheinen ignoriert wird ;)) zwischen dem User und der Malwareinstallationsroutine steht. Desweiteren ist die Softwarequelle für Windows zu 90% die wohl unsicherste Quelle überhaupt, nämlich der Download im Internet nachdem man bei Google ein Programm gesucht hat.
 
@OttONormalUser: Ich habe doch gar nicht von Windows gesprochen. Und bei Dir denke ich eigentlich, daß Du sehr genau weißt, daß weite Teile des bisherigen Erfolges von Windows genau dadurch bedingt sind, daß bis inkl. Windows XP erstmal jeder Depp Administrator war. Als die UAC bei Vista/2008 kam, ist Microsoft durchaus gefragt worden, warum statt der Einführung der UAC nicht endlich mal beim Benutzer erzwungen wird, daß er bei normaler, laufender Arbeit mit einfachen Benutzerrechten arbeiten soll, und nur bei System- oder Installationsarbeiten mit einem administrativen Account, für den sich authentifiziert werden muß (also wie root oder ein Superuser bei Unix/Linux). Die Antwort, wenig überraschend, lautete, daß das dem Kunden nicht zuzumuten sei. Vollkommen richtig! Die Aufregung über die UAC war ja schon riesig, obwohl das in der Tat nur ein Mausklick ist (und, wie Du richtig sagst, der Dialog, was da ausgeführt werden soll, irgendwann gar nicht mehr gelesen wird). Was meinst Du, wie groß der Sturm der Entrüstung gewesen wäre, wenn wirklich ein echter Root-Account erzwungen worden wäre, um Software installieren zu können? Sie hätten es machen können, denn schließlich ist auch Windows NT in seinem logischen Grundaufbau ein unixoides System. Dann wäre aber Vista ein noch größerer Rohrkrepierer geworden. Sieh' es mal so: Der durchschnittliche Windows-Benutzer ist ein Dau mit Admin-Rechten, der typische und überzeugte Linux-Nutzer ein deutlich technik- und sicherheitsverständigerer Mensch, der einsieht, daß gute Sicherheit manchmal nur zu Ungunsten der Bequemlichkeit zu erreichen ist.
 
@departure: Der durchschnittliche Windows-Benutzer ist ein Dau mit Admin-Rechten, und damit derjenige, der Malware installiert und auch verbreitet. Eigentlich ist er aber auch derjenige, der vor Malware geschützt werden muss, eben weil er ein DAU ist, irgendwas passt da nicht. Wozu braucht man denn dann überhaupt eine UAC, wenn der DAU sie ignoriert, und der Pro sie nicht braucht, wenn es doch nur um Komfort geht? Rede doch nicht den selben Quark wie MS, nur um diesen Schrott zu erklären ;)
 
@OttONormalUser: Nun ja, ich denke mal, es ist nicht "by design" so gedacht, daß die UAC ignoriert wird. Zumindest ich (sicherlich auch Du) würde bemerken, wenn dort eine ausführbare Datei auftaucht, die ich NICHT ausführen wollte (also die Malware). Microsoft scheint davon überzeugt gewesen zu sein, daß die UAC-Dialoge durchaus gelesen (und beherzigt) werden. Die Praxis sieht halt anders aus. Und solange bspw. in der Computerbild Anleitungen stehen, wie man die UAC komplett abschaltet, wird es immer düsterer. Wie gesagt, ich bin trotzdem sicher, daß Microsoft einen "echten" Root" zum Installieren von Software und für system- und systemnahe Arbeiten deswegen nicht eingeführt (und damit nicht erzwungen) hat, weil sie um die Akzeptanz einer solchen Maßnahme fürchteten.
 
@departure: Ich sehe das ja auch so, verstehe aber nicht, wie man Komfort der Sicherheit vorziehen kann. Ich halte die Bedenken auch für unbegründet, jedenfalls beschwert sich keiner der "DAUs" die ich betreue darüber, dass sie für manche Installationen/Tätigkeiten das Admin Kennwort eingeben müssen, was ja auch unter W7> problemlos zu handhaben ist mit einem richtigem Useraccount ohne Admin-Rechte. <- Das wäre eigentlich die Aufgabe von MS, beim erstem einrichten des Systems! Und die Linux-DAUs beschweren sich schon gar nicht, da sie das Kennwort ja nur im Paketmanager eingeben müssen wenn sie was installieren, oder bei Updates (wenn sie nicht auf vollautomatisch gestellt sind).
 
@OttONormalUser: "Das wäre eigentlich die Aufgabe von MS, beim erstem einrichten des Systems" - sage ich doch. Und bin auch immer sehr froh, wenn ich in IT-Umgebungen bin, wo normale User auch nur normale, einfache Nutzerrechte haben (z. B. bei meinen beiden Jobs, wo ich festlege, wer Adminrechte kriegt und wer nicht), da geht einfach am wenigsten schief. Aber wehe, wenn ich an Kisten im Freundes- oder Bekanntenkreis gerufen werde. Da muß ich dann laut "Hilfe" schreien. Und bitten, daß der Herr Hirn vom Himmel schmeißt. Wobei, wenn ich Dich richtig verstanden habe, geht der Vorwurf auch oder sogar in erster Linie an Microsoft, weil sie das überhaupt so durchgehen lassen bzw. ermöglichen. Da hast Du schon recht, aber, wie ich auch schon schrieb: Das ist, zumindest teilweise, das bisherige Erfolgsrezept von Windows auf dem Desktop: Jeder Trottel darf und kann alles , auch wenn er überhaupt keine Ahnung hat.
 
@departure: Genau das ist der Vorwurf, und dass sie dieses Konzept durchziehen auf Kosten der unbedarften User ;)
 
geht es nur mir so? Oder haben auch andere das Problem dass der "Befehl" nur zur Hälfte lesbar/sichtbar ist? http://s1.directupload.net/images/140320/phpot4wm.jpg
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles