Endlich! Botnetze aus linux-sörvern!

Aber wie es das perlskript, das eine kleine hintertür aufmacht schafft, sich bei der infekzjon in die crontab einzutragen, bleibt offen. Das kann kein einfaches sicherheitsloch in wördpress oder joomla sein, wie golem mutmaßelt. Denn ein PHP-skript für so eine webseit läuft — wenn da nicht jemand ziemlich fatal konfiguriert hat — mit den rechten des websörvers unter dem technischen benutzer www-data, der im dateisystem fast gar nichts dürfen sollte.

Wenn da nicht ein ganz übler fehler vorliegt, dann ist davon auszugehen, dass jemand mindestens mit normalen benutzerrechten diese schadsoftware selbst installiert. Was ich aus anderen kwellen als bei golem lese — danke, kwalitätsjornalismus — sieht so aus, als würden vollidjoten, die sich ein spämmskript für linux runterladen, gleich ein paar hintertürchen aufgemacht (seite 18 und 19 im verlinkten PDF). Finde ich ja im prinzip eine prächtige idee, aber nur, wenn man darüber nicht spämmt, sondern dem kriminellen, asozjalen vollidjoten seinen scheißsörver plattmacht. 👿

Sollte sich das als der einzige infekzjonsweg erweisen, besteht für die meisten menschen keine gefahr. Es kann aber auf gar keinen fall schaden, sich mal anzuschauen, was in der crontab drinsteht — und wenn man schon dabei ist, gleich mal einen blick in die verzeichnisse /etc/cron.d, /etc/cron.monthly, /etc/cron.weekly, /etc/cron.daily, /etc/cron.hourly zu werfen — früher war alles einfacher! — und auch mal in der /var/spool/cron/crontabs nachzuschauen, ob eine verdächtige zeile in der crontab eines anderen benutzers ist… na ja, was erzähle ich, der übliche kram eben!

(Dass ich dabei ganz nebenbei in den ruinen ein paar antike buffer einer älteren exim-versjon gefunden habe, die sich mit fast 450 MB breitschultrig auf die festplatte stellten und auf die seit 2009 nicht mehr zugegriffen wurde, ist ein anderes tema. Löschen ist immer noch der billigste festplattenspeicher. Man räumt viel zu selten richtig auf…)

Eine Antwort zu “Endlich! Botnetze aus linux-sörvern!

  1. Unter *BSD hat es sich ja eingebürgert, Webserver grundsätzlich in ’nem Jail/chroot laufen zu lassen. OpenBSD macht das sogar automatisch.

    Hachja. Linux halt.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.