Ulli_1956!: 25 000 Linux- und Unix-Server durch Operation “Windigo” gekapert

Mal was für die Linux/Unix-Admins hier ...

http://blogs.technet.com/b/germany/archive/2014/03/18/25-000-linux-und-unix-server-durch-operation-windigo-gekapert.aspx

  1. Hello,

    Mal was für die Linux/Unix-Admins hier ...

    http://blogs.technet.com/b/germany/archive/2014/03/18/25-000-linux-und-unix-server-durch-operation-windigo-gekapert.aspx

    Nett ;-O

    Und wer kann uns jetzt mal diese Befehlskette genau erklären?

      
    $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"  
    
    

    Liebe Grüße aus dem schönen Oberharz

    Tom vom Berg

    --
     ☻_
    /▌
    / \ Nur selber lernen macht schlau
    http://bikers-lodge.com
    1. Tach!

      Und wer kann uns jetzt mal diese Befehlskette genau erklären?

      $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

        
      Der normale SSH-Client kann mit dem „-G“-Schalter nichts anfangen, der Infizierte schon.  
        
      \0
      
      1. Hello,

        Tach!

        Und wer kann uns jetzt mal diese Befehlskette genau erklären?

        $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

        
        >   
        > Der normale SSH-Client kann mit dem „-G“-Schalter nichts anfangen, der Infizierte schon.  
          
        Ja schön.  
          
        Das nützt mir jetzt immer noch nichts.  
        Was tut der infizierte, wenn ich ihn mit dem G-Schalter aufrufe?  
        Gebe ich ihm damit (als Root) dann vielleicht erst die volle Kontrolle über das System?  
          
          
          
          
          
          
        Liebe Grüße aus dem schönen Oberharz  
          
          
        Tom vom Berg  
        ![](http://selfhtml.bitworks.de/Virencheck.gif)  
          
        
        -- 
         ☻\_  
        /▌  
        / \ Nur selber lernen macht schlau  
        <http://bikers-lodge.com>
        
        1. Und wer kann uns jetzt mal diese Befehlskette genau erklären?
          $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
          Der normale SSH-Client kann mit dem „-G“-Schalter nichts anfangen, der Infizierte schon.
          Das nützt mir jetzt immer noch nichts.
          Was tut der infizierte, wenn ich ihn mit dem G-Schalter aufrufe?

          Der spuckt den üblichen Hilfetext aus, meckert aber nicht weiter.

          Gebe ich ihm damit (als Root) dann vielleicht erst die volle Kontrolle über das System?

          Du benutzt den SSH-Client als Root? ;)
          Wenn das Ding auf deinem System ist, ist das Kind längst in den Brunnen gefallen.

          \0

          1. Hello,

            Und wer kann uns jetzt mal diese Befehlskette genau erklären?
            $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
            Der normale SSH-Client kann mit dem „-G“-Schalter nichts anfangen, der Infizierte schon.
            Das nützt mir jetzt immer noch nichts.
            Was tut der infizierte, wenn ich ihn mit dem G-Schalter aufrufe?

            Der spuckt den üblichen Hilfetext aus, meckert aber nicht weiter.

            Gebe ich ihm damit (als Root) dann vielleicht erst die volle Kontrolle über das System?

            Du benutzt den SSH-Client als Root? ;)
            Wenn das Ding auf deinem System ist, ist das Kind längst in den Brunnen gefallen.

            Nee, den Client nutze ich für Gewöhnlich gar nicht auf den Systemen, wobei ein ssfs vermutlich genauso betroffen sein könnte, oder? Das bentutze ich nämlich mit Vorliebe.

            Das war jetzt auch eher eine hypothetische Frage. Da wird irgend ein Rat gegeben, ohne nähere Einzelheiten zu vermelden. Das finde ich dann immer erstmal suspekt. Ehemalige Berufskrankheit eben :-)

            Liebe Grüße aus dem schönen Oberharz

            Tom vom Berg

            --
             ☻_
            /▌
            / \ Nur selber lernen macht schlau
            http://bikers-lodge.com
  2. Servus!

    Aus dem Analysebericht[PDF]: »No vulnerabilities were exploited on the Linux servers; only stolen credentials were leveraged.«

    Also besteht absolut kein Grund zur Beunruhigung.

    \0

    1. Hello,

      Aus dem Analysebericht[PDF]: »No vulnerabilities were exploited on the Linux servers; only stolen credentials were leveraged.«

      Also besteht absolut kein Grund zur Beunruhigung.

      Wie und wo sind DIE an die credentials gelangt?

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
       ☻_
      /▌
      / \ Nur selber lernen macht schlau
      http://bikers-lodge.com
      1. Aus dem Analysebericht[PDF]: »No vulnerabilities were exploited on the Linux servers; only stolen credentials were leveraged.«
        Also besteht absolut kein Grund zur Beunruhigung.
        Wie und wo sind DIE an die credentials gelangt?

        Vermutlich über Keylogger/Trojaner auf Rechnern von Admins, diverse Exploits auf den Servern selber und nicht zuletzt die ganzen Logindaten, die von diesem OpenSSH-Rootkit (Ebury) fleißig zurück nach Hause geschickt werden.

        \0