statistic

SSHD Rootkit nach CPanel Hack

  • Veröffentlicht am 22.02.2013
  • Redaktion Webhostlist

Ein neues Rootkit versetzte die Hosting-Szene in Unruhe: Auf zunächst unerklärliche Weise wurden eine Reihe von Webservern insbesondere bei Hostern von Angreifern kompromittiert um dann auf den Servern ein raffiniertes SSHd-Rootkit zu installieren. Die so geknackten Server wurden dann zum intensiven Spam-Versand missbraucht. Jetzt kommen die Hintergründe des Angriffs ans Licht.



Seit mehreren Tagen mehren sich die Entdeckungen eines neuen Rootkits auf Webservern insbesondere von Webhostern. Der raffinierte Angriff ersetzte dabei eine Shared Library (libkeyutils), gegen die der SSH-Daemon gelinkt wurde, und ermöglichte so den Zugriff auf den Server. Zugleich wurden automatisch alle Eingaben von Benutzernamen und Passwörtern mitgeschrieben und an den Angreifer versendet, so dass auch nachgelagerte Systeme rasch angegriffen wurden.

In den Berichten betroffener Admins kristallisierte sich nach einiger Zeit heraus, dass viele zuvor Kontakt mit dem Support von cPanel, einem kommerziellen Kontrolpanel für Webserver, hatten. Nach einer dortigen Überprüfung wurde bestätigt, dass die Support-Server von cPanel selber gehackt wurden. Dort wurden mitunter Benutzernamen und Passwörter für Wartungsarbeiten auf Kundensystemen hinterlegt, so dass der Angreifer direkten Zugriff auf die Kundenserver erhielt.

Einmal auf die Kundenserver gelangt wurde dort dann das neue Rootkit installiert, so dass auch nach Passwort-Änderungen der Zugriff für die Angreifer gegeben war. Noch schlimmer. Loggte sich ein angemeldeter Benutzer auf weiteren Servern ein, so wurden auch diese Passwörter weitergegeben.

Inzwischen erkennen die ersten serverseitigen Virenscanner (AVG und ClamAV) den Trojaner, und das Internet Storm Center hat eine einfache Anleitung zur Überprüfung der eigenen Systeme veröffentlicht. Administratoren, die in der Vergangenheit Kontakt mit dem Support von cPanel hatten, sollten ihre Server dringend überprüfen. Im Falle einer Infektion empfiehlt sich grundsätzlich ein Neuaufsetzen der Server samt Passwort-Wechsel.

Foto: © Ben Chams - Fotolia.com