25 000 Linux- und Unix-Server durch Operation “Windigo” gekapert
Ulli_1956!
- webserver
Mal was für die Linux/Unix-Admins hier ...
http://blogs.technet.com/b/germany/archive/2014/03/18/25-000-linux-und-unix-server-durch-operation-windigo-gekapert.aspx
Hello,
Mal was für die Linux/Unix-Admins hier ...
http://blogs.technet.com/b/germany/archive/2014/03/18/25-000-linux-und-unix-server-durch-operation-windigo-gekapert.aspx
Nett ;-O
Und wer kann uns jetzt mal diese Befehlskette genau erklären?
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Tach!
Und wer kann uns jetzt mal diese Befehlskette genau erklären?
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Der normale SSH-Client kann mit dem „-G“-Schalter nichts anfangen, der Infizierte schon.
\0
Hello,
Tach!
Und wer kann uns jetzt mal diese Befehlskette genau erklären?
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
>
> Der normale SSH-Client kann mit dem „-G“-Schalter nichts anfangen, der Infizierte schon.
Ja schön.
Das nützt mir jetzt immer noch nichts.
Was tut der infizierte, wenn ich ihn mit dem G-Schalter aufrufe?
Gebe ich ihm damit (als Root) dann vielleicht erst die volle Kontrolle über das System?
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
![](http://selfhtml.bitworks.de/Virencheck.gif)
--
☻\_
/▌
/ \ Nur selber lernen macht schlau
<http://bikers-lodge.com>
Und wer kann uns jetzt mal diese Befehlskette genau erklären?
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Der normale SSH-Client kann mit dem „-G“-Schalter nichts anfangen, der Infizierte schon.
Das nützt mir jetzt immer noch nichts.
Was tut der infizierte, wenn ich ihn mit dem G-Schalter aufrufe?
Der spuckt den üblichen Hilfetext aus, meckert aber nicht weiter.
Gebe ich ihm damit (als Root) dann vielleicht erst die volle Kontrolle über das System?
Du benutzt den SSH-Client als Root? ;)
Wenn das Ding auf deinem System ist, ist das Kind längst in den Brunnen gefallen.
\0
Hello,
Und wer kann uns jetzt mal diese Befehlskette genau erklären?
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Der normale SSH-Client kann mit dem „-G“-Schalter nichts anfangen, der Infizierte schon.
Das nützt mir jetzt immer noch nichts.
Was tut der infizierte, wenn ich ihn mit dem G-Schalter aufrufe?Der spuckt den üblichen Hilfetext aus, meckert aber nicht weiter.
Gebe ich ihm damit (als Root) dann vielleicht erst die volle Kontrolle über das System?
Du benutzt den SSH-Client als Root? ;)
Wenn das Ding auf deinem System ist, ist das Kind längst in den Brunnen gefallen.
Nee, den Client nutze ich für Gewöhnlich gar nicht auf den Systemen, wobei ein ssfs vermutlich genauso betroffen sein könnte, oder? Das bentutze ich nämlich mit Vorliebe.
Das war jetzt auch eher eine hypothetische Frage. Da wird irgend ein Rat gegeben, ohne nähere Einzelheiten zu vermelden. Das finde ich dann immer erstmal suspekt. Ehemalige Berufskrankheit eben :-)
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Servus!
Aus dem Analysebericht[PDF]: »No vulnerabilities were exploited on the Linux servers; only stolen credentials were leveraged.«
Also besteht absolut kein Grund zur Beunruhigung.
\0
Hello,
Aus dem Analysebericht[PDF]: »No vulnerabilities were exploited on the Linux servers; only stolen credentials were leveraged.«
Also besteht absolut kein Grund zur Beunruhigung.
Wie und wo sind DIE an die credentials gelangt?
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
Aus dem Analysebericht[PDF]: »No vulnerabilities were exploited on the Linux servers; only stolen credentials were leveraged.«
Also besteht absolut kein Grund zur Beunruhigung.
Wie und wo sind DIE an die credentials gelangt?
Vermutlich über Keylogger/Trojaner auf Rechnern von Admins, diverse Exploits auf den Servern selber und nicht zuletzt die ganzen Logindaten, die von diesem OpenSSH-Rootkit (Ebury) fleißig zurück nach Hause geschickt werden.
\0