frank
Goto Top

OpenSSH-Backdoor Malware erkennen

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf kompromittierte Computer haben

Mit Hilfe der Checksumme kann man die manipulierten SSH-Server Pakete erkennen.

Debain / Ubuntu Distributionen

sudo debsums | grep sshd
/usr/sbin/sshd                                                                OK
/usr/share/man/man5/sshd_config.5.gz                                          OK
/usr/share/man/man8/sshd.8.gz                                                 OK
/usr/share/openssh/sshd_config                                                OK
/usr/share/openssh/sshd_config.md5sum                                         OK

oder man lässt sich alle Dateien anzeigen, die nicht mit der offiziellen Checksumme übereinstimmen:
dpkg -V 
??5?????? c /etc/sysctl.conf
??5?????? c /etc/sysctl.d/10-ipv6-privacy.conf
??5?????? c /etc/sysfs.conf
??5?????? c /etc/vim/vimrc
??5??????   /usr/share/vim/vim80/indent.vim
etc.

Natürlich erscheinen hier z.B. Config-Dateien, die man selbst geändert hat. Diese kann man ignorieren. Sollte hier aber die "/usr/sbin/sshd" erscheinen, ist das System kompromittiert.

RedHat / Fedora

rpm -Vv openssh-server
.........  c /etc/pam.d/sshd
.........  c /etc/ssh/sshd_config
.........  c /etc/sysconfig/sshd
.........    /usr/lib/.build-id
.........    /usr/lib/.build-id/4f
.........    /usr/lib/.build-id/4f/4e02bca585071c875244734e11dc0b2456ecda
.........    /usr/lib/.build-id/7a
.........    /usr/lib/.build-id/7a/7b260ac30f51af0c94355c617814cc9b89b76d
.........    /usr/lib/systemd/system/sshd-keygen.target
.........    /usr/lib/systemd/system/sshd-keygen@.service
.........    /usr/lib/systemd/system/sshd.service
.........    /usr/lib/systemd/system/sshd.socket
.........    /usr/lib/systemd/system/sshd@.service
.........    /usr/lib/tmpfiles.d/openssh.conf
.........    /usr/lib64/fipscheck/sshd.hmac
.........    /usr/libexec/openssh/sftp-server
.........    /usr/libexec/openssh/sshd-keygen
.........    /usr/sbin/sshd
.........  d /usr/share/man/man5/moduli.5.gz
.........  d /usr/share/man/man5/sshd_config.5.gz
.........  d /usr/share/man/man8/sftp-server.8.gz
.........  d /usr/share/man/man8/sshd.8.gz
.........    /var/empty/sshd

Wobei hier zu beachte ist das die Kürzel vor den Dateien folgendes bedeuten:

S = File size changed
M = File mode changed
D = The major and minor version numbers differ on a device file.
5 = MD5 checksum changed or differs
L = Symlink changed (A mismatch occurs in a link)
U = Owner changed
G = Group changed
T = Modification time changed
c = it is a configuration file that has changed
missing = file is gone.

Hier sollte bei "/usr/sbin/sshd" kein Buchstabe davor stehen, da das System sonst kompromittiert ist.

Man kann sich die aktuelle Info über den installierten "openssh-server" auch ausführlich anzeigen lassen und die Checksumme dann mit der jeweiligen Version unter https://apps.fedoraproject.org/packages/openssh-server vergleichen.

rpm -qi openssh-server
Name        : openssh-server
Version     : 7.6p1
Release     : 5.fc27
Architecture: x86_64
Install Date: Mo 12 Mär 2018 12:35:41 CET
Group       : System Environment/Daemons
Size        : 1003595
License     : BSD
Signature   : RSA/SHA256, Do 01 Feb 2018 17:24:53 CET, Key ID f55e7430f5282ee4
Source RPM  : openssh-7.6p1-5.fc27.src.rpm
Build Date  : Do 01 Feb 2018 16:42:20 CET
Build Host  : buildvm-05.phx2.fedoraproject.org
Relocations : (not relocatable)
Packager    : Fedora Project
Vendor      : Fedora Project
URL         : http://www.openssh.com/portable.html
Summary     : An open source SSH server daemon
Description :
OpenSSH is a free version of SSH (Secure SHell), a program for logging
into and executing commands on a remote machine. This package contains
the secure shell daemon (sshd). The sshd daemon allows SSH clients to
securely connect to your SSH server.

Viel Erfolg beim Prüfen!

Die detaillierte Analyse von Eset findet ihr als PDF unter:


Gruß
Frank

Content-Key: 395608

Url: https://administrator.de/contentid/395608

Ausgedruckt am: 29.03.2024 um 05:03 Uhr