Rootkit Hunter für Ubuntu

HowTo: Ubuntu PC/Server auf Rootkits überprüfen

Malicious Software, also Software, die mit böswilliger Software Schaden auf dem Zielsystem anrichten soll, ist auf allen Betriebssystemen zu Hause, auch auf Linux. Ganz besonders bösartige Zeitgenossen sind sogenannte Rootkits, wie ihr diese ausfindig macht, das zeigen wir euch heute:

Rootkit Hunter für Ubuntu
Rootkit Hunter für Ubuntu

Neben Viren, Würmer, Spam, Phishing und sonstigen Angriffen auf euer System, sind Rootkits eine sehr unangenehme Möglichkeit, schadhaften Code auf eurem PC oder Server auszuführen, oder diesen im schlimmsten Fall sogar komplett fernzusteuern.

Rootkits, sofern sie vom Rootkit Hunter erkannt werden, auf die Spur zu kommen, ist jedoch ein recht einfaches Unterfangen. Der Rootkit Hunter ist in den Ubuntu Paketquellen vorhanden und kann einfach über Apt installiert werden:

sudo apt-get install rkhunter

Der Rootkit Hunter arbeitet mit einer Signaturdatenbank, die man vor dem ersten Check auf den aktuellen Stand bringen sollte, damit neuere Rootkits ebenfalls erkannt werden können:

sudo rkhunter –update

Ist die Datenbank auf dem aktuellen Stand, kann der Scan beginnen:

sudo rkhunter -c

Der Check verläuft in unterschiedlichen Schritten, erst wird nach Änderungen oder Auffälligkeiten bei Systemkommandos geschaut, bevor es dann an den Rootkit-Check geht und anschliessend weitere Malware- und Netzwerk-Checks durchgeführt werden. Der Rootkit Hunter legt für Systemdateien MD5 Hashs an und kann somit Veränderungen zwischen den Scans feststellen, auch fehlerhafte Dateiberechtigungen oder versteckten Dateien kommt man mit dem Rootkit Hunter zuverlässig auf die Spur.

Sind diese Überprüfungen durchgeführt worden, so kann man sich den Gesamtbericht unter /var/log/rkhunter.log  anschauen. Ausgegebene Warnungen werden beschrieben und sollten genauer betrachtet werden.

Für falsche Warnungen kann man Whitelist-Einträge anlegen, die dann im nächsten Scan ignoriert werden und somit keinen erneuten Fehlalarm auslösen. Beispiele zu Whitelist-Einträgen befinden sich in der Configdatei unter /etc/rkhunter.conf

Rootkit Hunter richtet sich primär an Administratoren, aber auch Endanwender, die eine Einzelplatzinstallation von Ubuntu nutzen, sollten ihren PC in regelmässigen Abständen einem Scan unterziehen!

Samsung Wave – Virus inside

Samsung Wave
Samsung Wave

Das Samsung Wave, das erste Smartphone, mit Samsungs neuem Betriebssystem Bada, kommt offensichtlich mit einem Windowsvirus ab Werk.

Wie in einem durch Benutzer bestätigten Eintrag im Handy-FAQ Forum beschrieben, enthält die mit dem Smartphone ausgelieferte Speicherkarte schadhaften Code, der Windowsrechner befällt. Wird das Smartphone über USB mit dem Windows PC verbunden und als Massenspeicher ausgewählt, dann versucht, bei aktiviertem Autostart, die autostart.inf die Datei slmvsrv.exe zu starten.

Befallen soll die Datei mit dem Win32/AutoRun.PSW.Delf.C Wurm sein, wie man im Handy-FAQ Eintrag erfahren kann. Eine offizielle Stellungnahme von Samsung in Deutschland steht aus, mobileburn.com weiss jedoch zu berichten:

Samsung’s HQ in Seoul, South Korea has informed us that it has determined that only the initial production run of Samsung S8500 Wave devices for the German market were shipped with infected 1GB microSD memory cards. Future shipments, and those sent to other markets, should be virus free.

Der Virenbefall erstreckt sich offensichtlich nur auf die erste Charge die in Deutschland ausgeliefert wurde, andere Länder sind davon nicht betroffen. Auf der mitgelieferten Speicherkarte ist die Route66 Navigationssoftware enthalten.

Das Smartphone selbst ist nicht vom Virus befallen und kann durch diesen auch nicht infiziert werden.

Facebook Attacke installiert Malware und verspricht iPad

Facebook Most hillarious video ever Attacke
Facebook Most hillarious video ever Attacke

Keine Ruhe für Facebook Benutzer, wieder ist eine Malware Attacke unterwegs, getarnt als „Most Hilarious Video ever“. Diesmal ist die Attacke durchaus eine Ernstzunehmende, wie Websense zu berichten weiss.

Der Angriff ist insofern nicht ohne, als dass er auf mehreren Ebenen Schaden anrichten kann, zuerst wird versucht, wie so häufig, an die Facebook Benutzerdaten des Anwenders zu kommen, indem man nach Klick auf das Video auf eine gefälschte Login Seite weiterleitet. Gibt man dort seine Benutzerdaten ein, wird man zurück zu Facebook geleitet und ab hier beginnt der Spass. Um das Video zu installieren, sei ein spezieller Player notwendig, der als Facebook App installiert werden soll.

Ab hier ist die Attacke für Benutzer aus Deutschland vorbei, kommt man jedoch aus England, basierend auf der IP Adresse, wird man zu einem IQ-Test/Gewinnspiel weitergeleitet, bei dem man, so wird es beworben, ein iPad gewinnen kann, natürlich nur, wenn man seine Adressdaten zur Verfügung stellt.

Sollte man die App installiert haben empfiehlt es sich dringend diese zu deinstallieren, das eigene Facebook Passwort zu ändern und den PC einer vollständigen Viren/Spyware Kontrolle zu unterziehen!

Wie man sieht, zielen Facebook Angriffe vermehrt auf Daten abseits des Benutzerlogins ab und nutzen die Möglichkeiten, die Facebook Apps, mit ihren Berechtigungen bieten, voll aus. Es ist nur eine Frage der Zeit, bis zielgerichtete Angriffe für alle Länder gestartet werden und der unbedarfte Nutzer, wider besseren Wissens, seine Daten eingibt. Die erneute Eingabe der Logindaten ist gar nicht so verwunderlich, jeder ist sicherlich schonmal von Facebook ausgeloggt worden, der entscheidende Unterschied zwischen unbedarftem und informiertem Benutzer, ist der kontrollierende Blick in die Browser Adressleiste.

Werden Angriffe jedoch in vermeintlich „nützliche“ Facebook Apps verpackt, sieht es schon sehr kriminell aus, hier benötigt es schon mehr als nur einen Blick, oder die generelle Regel: Facebook Apps sind böse!

Winkt jedoch ein Gewinnspiel, so sind die guten Vorsätze schnell über Bord geworfen.

Mehr Infos zur Attacke gibt es Websense Blogeintrag.

Anbei das Video von Websense, das die Attacke im Detail erläutert:
Mehr lesen