Rootkit attackiert Nutzer durch Linux-Webserver

von Andreas Hackl | 0 | 3567 Aufrufe

Anzeige Hier werben

Vor kurzem wurde ein neu entwickeltes Rootkit entdeckt, dass Systeme von Nutzern angreift, wenn die Webseite über den Linux-Webserver nginx ausgeliefert wird. Dabei wird auf der Webseite ein Iframe platziert, über das Schadcode geladen wird. Gemäß Untersuchungen des Kaspersky Lab zielt es vor allem auf 64bit-Systeme ab, unabhängig vom Betriebssystem des Opfers, und fügt dem Verteilsystem die Zeile insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko in das /etc/rc.local-Skript ein, um bei jedem Start des Betriebssystems automatisch geladen zu werden.

Danach klinkt es sich in die Speicherfunktionen mancher Kernel-Funktion ein und ist so vor dem Nutzer zunächst unsichtbar und kann den Netzwerkverkehr des betroffenen Systems manipulieren.

Vermutlich handelt es sich bei der Entwicklung noch nicht um die finale Version, da das Rootkit, welches den Namen "Rootkit.Linux.Snakso.a" bekam, mit Debug-Informationen kompiliert wurde.

Über den Autor: Andreas Hackl
Hat Internetbasierte Systeme an der FH Trier studiert und sieht sich völlig selbstverständlich als Netzbürger.
Profilseite betrachten