Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenSSH-Backdoor Malware erkennen

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

13.12.2018, aktualisiert 18:05 Uhr, 886 Aufrufe, 2 Danke

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf kompromittierte Computer haben

Mit Hilfe der Checksumme kann man die manipulierten SSH-Server Pakete erkennen.

Debain / Ubuntu Distributionen

01.
sudo debsums | grep sshd
02.
/usr/sbin/sshd                                                                OK
03.
/usr/share/man/man5/sshd_config.5.gz                                          OK
04.
/usr/share/man/man8/sshd.8.gz                                                 OK
05.
/usr/share/openssh/sshd_config                                                OK
06.
/usr/share/openssh/sshd_config.md5sum                                         OK
oder man lässt sich alle Dateien anzeigen, die nicht mit der offiziellen Checksumme übereinstimmen:
01.
dpkg -V 
02.
??5?????? c /etc/sysctl.conf
03.
??5?????? c /etc/sysctl.d/10-ipv6-privacy.conf
04.
??5?????? c /etc/sysfs.conf
05.
??5?????? c /etc/vim/vimrc
06.
??5??????   /usr/share/vim/vim80/indent.vim
07.
etc.
Natürlich erscheinen hier z.B. Config-Dateien, die man selbst geändert hat. Diese kann man ignorieren. Sollte hier aber die "/usr/sbin/sshd" erscheinen, ist das System kompromittiert.

RedHat / Fedora

01.
rpm -Vv openssh-server
02.
.........  c /etc/pam.d/sshd
03.
.........  c /etc/ssh/sshd_config
04.
.........  c /etc/sysconfig/sshd
05.
.........    /usr/lib/.build-id
06.
.........    /usr/lib/.build-id/4f
07.
.........    /usr/lib/.build-id/4f/4e02bca585071c875244734e11dc0b2456ecda
08.
.........    /usr/lib/.build-id/7a
09.
.........    /usr/lib/.build-id/7a/7b260ac30f51af0c94355c617814cc9b89b76d
10.
.........    /usr/lib/systemd/system/sshd-keygen.target
11.
.........    /usr/lib/systemd/system/sshd-keygen@.service
12.
.........    /usr/lib/systemd/system/sshd.service
13.
.........    /usr/lib/systemd/system/sshd.socket
14.
.........    /usr/lib/systemd/system/sshd@.service
15.
.........    /usr/lib/tmpfiles.d/openssh.conf
16.
.........    /usr/lib64/fipscheck/sshd.hmac
17.
.........    /usr/libexec/openssh/sftp-server
18.
.........    /usr/libexec/openssh/sshd-keygen
19.
.........    /usr/sbin/sshd
20.
.........  d /usr/share/man/man5/moduli.5.gz
21.
.........  d /usr/share/man/man5/sshd_config.5.gz
22.
.........  d /usr/share/man/man8/sftp-server.8.gz
23.
.........  d /usr/share/man/man8/sshd.8.gz
24.
.........    /var/empty/sshd
Wobei hier zu beachte ist das die Kürzel vor den Dateien folgendes bedeuten:

S = File size changed
M = File mode changed
D = The major and minor version numbers differ on a device file.
5 = MD5 checksum changed or differs
L = Symlink changed (A mismatch occurs in a link)
U = Owner changed
G = Group changed
T = Modification time changed
c = it is a configuration file that has changed
missing = file is gone.

Hier sollte bei "/usr/sbin/sshd" kein Buchstabe davor stehen, da das System sonst kompromittiert ist.

Man kann sich die aktuelle Info über den installierten "openssh-server" auch ausführlich anzeigen lassen und die Checksumme dann mit der jeweiligen Version unter https://apps.fedoraproject.org/packages/openssh-server vergleichen.

01.
rpm -qi openssh-server
02.
Name        : openssh-server
03.
Version     : 7.6p1
04.
Release     : 5.fc27
05.
Architecture: x86_64
06.
Install Date: Mo 12 Mär 2018 12:35:41 CET
07.
Group       : System Environment/Daemons
08.
Size        : 1003595
09.
License     : BSD
10.
Signature   : RSA/SHA256, Do 01 Feb 2018 17:24:53 CET, Key ID f55e7430f5282ee4
11.
Source RPM  : openssh-7.6p1-5.fc27.src.rpm
12.
Build Date  : Do 01 Feb 2018 16:42:20 CET
13.
Build Host  : buildvm-05.phx2.fedoraproject.org
14.
Relocations : (not relocatable)
15.
Packager    : Fedora Project
16.
Vendor      : Fedora Project
17.
URL         : http://www.openssh.com/portable.html
18.
Summary     : An open source SSH server daemon
19.
Description :
20.
OpenSSH is a free version of SSH (Secure SHell), a program for logging
21.
into and executing commands on a remote machine. This package contains
22.
the secure shell daemon (sshd). The sshd daemon allows SSH clients to
23.
securely connect to your SSH server.
Viel Erfolg beim Prüfen!

Die detaillierte Analyse von Eset findet ihr als PDF unter:


Gruß
Frank
Ähnliche Inhalte
Sicherheit
Backdoor in USB Controllern
Information von sabinesSicherheit4 Kommentare

In einigen AMD Chips mit intergrierten USB Controller, gibt es eine Hintertür. Neu ist nun der Hinweis, dass wahrscheinlich ...

SAN, NAS, DAS
WD Mycloud NAS hat Backdoor
Information von LochkartenstanzerSAN, NAS, DAS5 Kommentare

Moin, Ich glaube zwar nicht, daß hier allzuviele Leute sowas als NAS einsetzen, aber eine Warnung ist trotzdem angebracht. ...

Firewall

FortiOS SSH Backdoor - erlaubt unberechtigten Zugriff

Tipp von R3nD0mFirewall1 Kommentar

Und noch eine Backdoor / Lücke in einem komerziellen Firewall-Produkt. Eine Lücke erlaubt es eine SSH verbindung mit einem ...

Sicherheit

"Display Widgets": WordPress-Plugin mit Backdoor aus Repository entfernt

Information von BassFishFoxSicherheit

Vielleicht sehr interessant fuer alle Wordpress-Benutzer. Sehr interessant auch die Story dahinter. BFF

Neue Wissensbeiträge
Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 14 StundenWindows 101 Kommentar

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 16 StundenSicherheit5 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Microsoft Office
TEAMS - Skype for business
Tipp von Nebellicht vor 16 StundenMicrosoft Office

Hallo, ms ersetzt Skype for business durch TEAMS. Also, nicht wundern wenn mit der OFFICE365 Umgebung kein Skype for ...

Windows 10

Windows 10: Cortana und die Suche gehen bald wieder eigene Wege

Information von Frank vor 20 StundenWindows 102 Kommentare

Microsoft hat einen neuen Insider Build von Windows 10 veröffentlicht (Fast Ring, Version 18317), wo die digitale Assistentin "Cortana" ...

Heiß diskutierte Inhalte
Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Switche und Hubs
Medienkonverter mit 12 oder 24 Ports gesucht
Frage von wmuellerSwitche und Hubs22 Kommentare

Guten Morgen, ich bin auf der Suche nach einem größeren Medienkonverter, der "stumpf" 1:1 die Ports auf über ein ...

Debian
OpenSSH Login mit Public Key schlägt fehl, mit Passwort funktioniert
gelöst Frage von DKowalkeDebian19 Kommentare

Hallo zusammen, ich hatte hier schon nach einer Anleitung für einen SFTP Server mit Linux gefragt, habe dort auch ...

Windows 10
VM wächst schnell von 14 auf 35 GB an - warum?
Frage von degudejungWindows 1018 Kommentare

Hallo, ich bin ein Freund schlanker VMs und setze daher gerne mit dem Erscheinen einer neuen Win10 Version - ...