http://www.channelregister.co.uk/2008/01/16/mysterio…
http://www.linux.com/feature/125548
Hallo,
angeblich sollen 10.000nde Linux-Server RBot-Trojaner verteilen.
Das ganze wird mit „mystery web infection“ überschrieben.
Mich würde interessieren, was ihr davon haltet.
Bisher dachte ich, dass selbst Linux-Server sehr sicher seien, aber es scheint unklar, wie das root-Passwort überwunden werden konnte.
Danke und Gruß, Ingo
Moien
Mich würde interessieren, was ihr davon haltet.
Bisher dachte ich, dass selbst Linux-Server sehr sicher seien,
aber es scheint unklar, wie das root-Passwort überwunden
werden konnte.
Da wurde wahrscheinlich nur einer kleiner Teil im eigentlichen Sinne geknackt.
Die root-passwörter wurden teilweise per Phishing gefunden und teilweise waren es Server bei denen der Wartungszugang noch auf dem default-Passwort war. Ein paar wenige scheinen sehr alte und anfällige Kernel zu nutzen, ein paar nutzen Netzwerktreiber mit bekannten Löchern.
Und nur weil das ganze der Presse neu war ist es noch lange keine Sensation. Geknackte Linuxserver gibt es schon länger und der Verwendungszweck ist auch keine Überraschung. Wirklich neu ist allerhöchstens die Anzahl der Server die den gleichen Trojaner verschickt.
cu
Mich würde interessieren, was ihr davon haltet.
Bisher dachte ich, dass selbst Linux-Server sehr sicher seien,
aber es scheint unklar, wie das root-Passwort überwunden
werden konnte.
Es gibt Anzeichen dafür, dass tatsächlich per cPanel verwaltete Server einen Exploit verbreiten.
Sogar das Interet Storm Center hat mal darüber berichtet: http://isc.sans.org/diary.html?storyid=3864
Immer noch ISC: if you have access to one of the compromised servers we would appreciate any information…
An diesen Berichten mangelt es wohl.
Gruss
Schorsch