OpenSSH-Backdoor Malware erkennen

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf kompromittierte Computer haben

Mit Hilfe der Checksumme kann man die manipulierten SSH-Server Pakete erkennen.

Debain / Ubuntu Distributionen

sudo debsums | grep sshd
/usr/sbin/sshd                                                                OK
/usr/share/man/man5/sshd_config.5.gz                                          OK
/usr/share/man/man8/sshd.8.gz                                                 OK
/usr/share/openssh/sshd_config                                                OK
/usr/share/openssh/sshd_config.md5sum                                         OK

oder man lässt sich alle Dateien anzeigen, die nicht mit der offiziellen Checksumme übereinstimmen:

dpkg -V 
??5?????? c /etc/sysctl.conf
??5?????? c /etc/sysctl.d/10-ipv6-privacy.conf
??5?????? c /etc/sysfs.conf
??5?????? c /etc/vim/vimrc
??5??????   /usr/share/vim/vim80/indent.vim
etc.

Natürlich erscheinen hier z.B. Config-Dateien, die man selbst geändert hat. Diese kann man ignorieren. Sollte hier aber die "/usr/sbin/sshd" erscheinen, ist das System kompromittiert.

RedHat / Fedora

rpm -Vv openssh-server
.........  c /etc/pam.d/sshd
.........  c /etc/ssh/sshd_config
.........  c /etc/sysconfig/sshd
.........    /usr/lib/.build-id
.........    /usr/lib/.build-id/4f
.........    /usr/lib/.build-id/4f/4e02bca585071c875244734e11dc0b2456ecda
.........    /usr/lib/.build-id/7a
.........    /usr/lib/.build-id/7a/7b260ac30f51af0c94355c617814cc9b89b76d
.........    /usr/lib/systemd/system/sshd-keygen.target
.........    /usr/lib/systemd/system/sshd-keygen@.service
.........    /usr/lib/systemd/system/sshd.service
.........    /usr/lib/systemd/system/sshd.socket
.........    /usr/lib/systemd/system/sshd@.service
.........    /usr/lib/tmpfiles.d/openssh.conf
.........    /usr/lib64/fipscheck/sshd.hmac
.........    /usr/libexec/openssh/sftp-server
.........    /usr/libexec/openssh/sshd-keygen
.........    /usr/sbin/sshd
.........  d /usr/share/man/man5/moduli.5.gz
.........  d /usr/share/man/man5/sshd_config.5.gz
.........  d /usr/share/man/man8/sftp-server.8.gz
.........  d /usr/share/man/man8/sshd.8.gz
.........    /var/empty/sshd

Wobei hier zu beachte ist das die Kürzel vor den Dateien folgendes bedeuten:

S = File size changed
M = File mode changed
D = The major and minor version numbers differ on a device file.
5 = MD5 checksum changed or differs
L = Symlink changed (A mismatch occurs in a link)
U = Owner changed
G = Group changed
T = Modification time changed
c = it is a configuration file that has changed
missing = file is gone.

Hier sollte bei "/usr/sbin/sshd" kein Buchstabe davor stehen, da das System sonst kompromittiert ist.

Man kann sich die aktuelle Info über den installierten "openssh-server" auch ausführlich anzeigen lassen und die Checksumme dann mit der jeweiligen Version unter https://apps.fedoraproject.org/packages/openssh-server vergleichen.

rpm -qi openssh-server
Name        : openssh-server
Version     : 7.6p1
Release     : 5.fc27
Architecture: x86_64
Install Date: Mo 12 Mär 2018 12:35:41 CET
Group       : System Environment/Daemons
Size        : 1003595
License     : BSD
Signature   : RSA/SHA256, Do 01 Feb 2018 17:24:53 CET, Key ID f55e7430f5282ee4
Source RPM  : openssh-7.6p1-5.fc27.src.rpm
Build Date  : Do 01 Feb 2018 16:42:20 CET
Build Host  : buildvm-05.phx2.fedoraproject.org
Relocations : (not relocatable)
Packager    : Fedora Project
Vendor      : Fedora Project
URL         : http://www.openssh.com/portable.html
Summary     : An open source SSH server daemon
Description :
OpenSSH is a free version of SSH (Secure SHell), a program for logging
into and executing commands on a remote machine. This package contains
the secure shell daemon (sshd). The sshd daemon allows SSH clients to
securely connect to your SSH server.