[DE] Die XOR.DDoS-Malware installiert ein Linux-Rootkit

[reddark]

 

http://www.linux-magazin.de/NEWS/Die-XOR.DDoS-Malware-installiert-ein-Linux-Rootkit

[bluelupo]

Gegen solche "bösen Buben" hilft unter anderem rkhunter zu installieren, so das man nicht schutzlos ist.

[spacepenguin]

Ist man da in jedem Fall betroffen auch wenn man den ssh-server nur dazu nutzt, im eigenen lokalen Netzwerk Daten zwischen 2 Rechnern auszutauschen (Dolphin-sftp-Verbindung)? root-Login ist natürlich deaktiviert - aber ist das Teil so richtig nach außen sichtbar, wenn man da sonst nichts weiter einstellt? Mal so ganz blond gefragt...

Braucht man für das KDE-eigene fish-Protokoll eigentlich auch auf einem der Rechner einen ssh-Server?

[bluelupo]

Hi spacepenguin,
wenn du von außen (Internet) keinen Zugriff per ssh erlaubst, dann nicht. fish ist übrigens keine KDE-Erfindung, sondern stammt ursprünglich vom Entwickler des midnightcommanders (mc) und ja du brauchst einen ssh-server.

[spacepenguin]

Hallo bluelupo,
wie stelle ich denn sicher, dass der ssh-server von außen nicht erreichbar ist? In der sshd_config und im Handbuch ist mir da nichts aufgefallen... Ich benutze die Standard-Konfiguration wie im Handbuch beschrieben mit
LoginGraceTime 45
PermitRootLogin no
StrictModes yes
MaxAuthTries 3

Der verwendete Port ist lt. Portscan geschlossen...

Ist das egal, ob ich sftp oder fish verwende? Oder ist eins sicherer/besser?

[bluelupo]

Hi spacepenguin,
ich nehme mal an du hast einen Router (FritzBox etc.) für die Internetverbindung. Wenn du an dem Router keine ankommenden ssh-Verbindungen erlaubst (Port 22), dann kommt auch niemand rein in dein lokales Netz.

Die Config im lokalen Netz muss dann weniger restriktiv sein ;-)

sftp setzt auf die ssh-Verbindungen auf, also eine verschlüsselte Verbindung zum Kopieren von Daten.

[spacepenguin]

Port 22 Anfragen werden abgewiesen per Router. Danke, bluelupo. Man wird ja doch unsicher bei solchen Meldungen...

[reddark]

auch von mir danke .... auf solche Infos hoff ich immer

[ayla]

Stößt sie auf einen mit einem schwachen Passwort abgesicherten SSH-Server, findet sie das Passwort heraus und schiebt dann ein Shellskript auf diesen Server.   

Damit sollte eine GPG- statt Passwort gesicherte Verbindung -wie hier im 2. Abschnitt beschrieben: http://wiki.siduction.de/index.php?title=VNC-Verbindung_durch_ssh-Tunnel_mit_dynamischer_DNS_herstellen - auch vom Internet her immer noch einigermaßen gefahrlos sein?


Gruß
ayla

[bluelupo]

Vom Internet her per ssh auf mein lokales Netz zugreifen würde ich persönlich nur per VPN wollen, alles andere ist unsicherer oder gar sicherheitsbdenklich. Übrigens kann man ganz bequem zwei lokale Netzwerke die hinter einer FritzBox liegen mit den Bordmitteln (VPN) des Routers verbinden und kann zB. eine sichere ssh-Verbindung zu einem Rechner im anderen lokalen Netzerk aufbauen.

Ich nutze dieses Funktionalität seit mehr als einem Jahr und bin sehr zufrieden damit. Wenn Interesse besteht kann ich gerne die Artikel der AVM-Datenbank zu diesem Thema hier verlinken.

[dieres]

Bei mir lief vor Jahren die messages über mit versuchten Verbindungen auf dem ssh Port 22 . Da ich damals noch kein vpn hatte, hab ich den Port von 22 auf einen 4stelligen geändert, danach war auch schon Ruhe. Wenn einer da einen kompletten portscan durchführt, findet der das sicher auch, aber das scheint nicht stattzufinden.
Jetzt mit vpn  hab ich da aber ein besseres Sicherheitsgefühl.