Security

BSI: Hunderte deutsche Server mit "Ebury"-Rootkit infiziert

Das BSI warnt deutsche Server-Betreiber vor Infektionen mit dem sogenannten "Ebury"-Rootkit. Hunderte Server seien nach eigenen Erkenntnissen betroffen; die Betreiber informiert. Dennoch gehe die Zahl der kompromittierten Systeme nur langsam zurück.

14.02.2014, 15:19 Uhr
Datenaustausch© violetkaipa / Fotolia.com

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem SSH-Rootkit mit Backdoor-Funktionalität für Linux und Unix-ähnliche Betriebssysteme. "Ebury" sei seit Februar letzten Jahres systematisch durch das Computer Emergency Response Team für Bundesbehörden (CERT-Bund) analysiert worden. In Zusammenarbeit mit weiteren internationalen Sicherheitsteams konnten dabei weltweit tausende Systeme identifiziert werden, die von dem Rootkit befallen sind, teilte das BSI am Freitag mit.

Zahl infizierter Systeme sinkt nur langsam

Darunter seien ebenfalls einige hundert Server aus Deutschland. Obwohl man die betroffenen Hoster bereits zeitnah über den Befall informiert habe, gehe die Zahl der infizierten Systeme nur langsam zurück, so das BSI. Ursächlich dafür sei vor allem eine mangelhafte Informationspolitik einiger Provider, die ihre Kunden nicht oder zu spät informiert hätten. Für die Täter bedeute das, weiterhin ungehindert kriminellen Aktivitäten nachgehen sowie Zugangsdaten und SSH-Schlüssel für weitere Server erlangen zu können.

"Ebury" werde von den Angreifern durch den Austausch von SSH-Binärdateien oder einer von diesen Programmen gemeinsam genutzten Bibliothek installiert. Anschließend beginnt das Abfischen sensibler Daten. Darüber hinaus öffnet die Malware eine Hintertür, die ihren Urhebern jederzeit den vollen Root-Zugriff auf das System gewährt. Dies gelte auch dann, wenn Passwörter für Nutzerkonten regelmäßig geändert würden, warnt das BSI. Auch seien die SSH-Verbindungen über die Backdoor nicht in den Log-Dateien verzeichnet.

Neuinstallation und Passwort-Änderungen empfohlen

Genutzt werden die gekaperten Server nach BSI-Angaben unter anderem für die Umleitung von Besuchern auf Websites mit sogenannten Drive-by-Exploits – also automatisierten Angriffen auf bekannte Schwachstellen in Browser, Betriebssystem oder populären Programmen – und den massenhaften Versand von Spam-Mails. Außerdem sei es über den Root-Zugriff möglich, weitere Schadsoftware zu installieren oder Kundendaten auszuspähen.

Server-Betreibern, die von ihrem Hoster über eine "Ebury"-Infektion informiert worden sind, empfiehlt die Behörde daher, umgehend Maßnahmen zu ergreifen. Dazu gehörten eine Neuinstallation des Betriebssystems sowie die Änderung sämtlicher Zugangsdaten und (privaten) Schlüssel, die mit SSH-Verbindungen von oder zu einem kompromittierten Server verwendet worden seien beziehungsweise auf dem System gespeichert waren. Weitere Hinweise sind über eine FAQ-Sammlung des CERT-Bund abrufbar – allerdings nur in Englisch.

(Christian Wolf)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang