SSH Malware mit Cryptofunktion entdeckt

  • Moin,

    Den Raspberry per SSH direkt mit dem Internet zu verbinden ist praktisch aber man sollte doch bedenken das er damit recht leicht angreifbar wird.

    https://www.golem.de/news/linux-mul…706-128321.html

    Da traut sich jemand Cryptowährung zu schürfen..... Wer sich mit SSH auskennt wird das nicht passieren, ich denke aber an tausende Homeuser die nicht wirklich wissen was sie mit dem port forwarding auf port 22 eingerichtet haben und es einfach offen lassen.

    Was mich noch wundert... wer erwartet große Hashwerte von einem ARM Prozessor? Die Masse solls wohl machen... naja sehen wir mal.

  • hier das Skript das der Wurm verwendet:

    Die Frage ist: reicht es aus wenn man die Dateien die hier verändert werden löscht um das System wieder normal laufen zu lassen oder sollte man den rspberry neu installieren?

    (nein ich war nicht derjenige der dieses System installiert hat und das Scheunentor so weit offen lies)

    Gruß
    Werner

  • Zitat

    Die Frage ist: reicht es aus wenn man die Dateien die hier verändert werden löscht um das System wieder normal laufen zu lassen oder sollte man den rspberry neu installieren?

    (nein ich war nicht derjenige der dieses System installiert hat und das Scheunentor so weit offen lies)


    Das Gerät natürlich sofort vom Netz nehmen - i.d.R. wird beabsichtigt, weitere im Netzwerk befindliche Hosts zu kompromitieren um dann Cryptowährung zu scheffeln. Ich würde ggf. noch notwendige Daten wie Fotos oder Textdokumente retten und die SD-Karte anschließend einstampfen, sprich komplett mit dd o.ä. formatieren und neuinstallieren.

    Selbst wenn man nicht wirklich weiß, was man tut, sollte man doch zumindest ein halbwegs sicheres SSH-Passwort generieren können, so dass die Kiste nicht gleich gekapert wird. Außerdem sollte man sowieso nur ssh-keys hinterlegen und in der sshd_config die reine Passwortauthentifikation abstellen.

    Mfg,

    sls

    “Don’t comment bad code - rewrite it.”

    Brian Kernighan

    Einmal editiert, zuletzt von sls (15. Juni 2017 um 10:13)

  • ...und wiedermal zeigt sich, das die Verwendung eines Standardisierten Ports zum Verhängnis werden kann...

    Ich erinnere mich noch an eine lebhafte Diskussion hier im Forum, in der mir gesagt wurde "den Port zu ändern stellt kein Schutz dar!".
    Aber mich wundert es nicht dass das hier zeigt "doch, das kann schützen!"

    In diesem Sinne - weitermachen!


    Diese Malware hier sucht derzeit nur auf Port 22. Wenn man also _nur_ einen anderen Port verwendet ist man für diese Malware bereits außer Gefahr - zumindest bis zum jetzigen Zeitpunkt, wenn die noch in er Entwicklung ist und später noch ein Portscanner dazu kommt bringt auch die Portänderung nichts mehr.... Aber bis dato hat die Malware keinen Portscanner. Was wäre wenn, ist also quatsch darüber zu reden.

  • Das Problem sehe ich weniger in der Abschottung der Ports, da es daneben weitere Einfallsmöglichkeiten für ein initiales Schadcode-Script gibt, sondern im "sudo".

    < sudo > im Hintergrund (also aus einem Script heraus) aufgerufen, verzichtet auf eine Passwortabfrage und führt den Befehl sofort als root aus. Davon macht das Schadcodeinstallationsscript umfangreich gebrauch.

    Das Script geht davon aus, dass der angemeldete/ausführende User nicht root ist, aber für sudo berechtigt ist.
    99 % der rPi Benutzer surfen im Internet als sudo-er und sind mit sudo - Erlaubnis am Pi angemeldet (mit, oder ohne Passwd).


    Servus !

    RTFM = Read The Factory Manual, oder so

  • Zitat

    Ich erinnere mich noch an eine lebhafte Diskussion hier im Forum, in der mir gesagt wurde "den Port zu ändern stellt kein Schutz dar!".
    Aber mich wundert es nicht dass das hier zeigt "doch, das kann schützen!"


    Kann, aber wenn man das Passwort für den User pi nicht ändert, ist das fatal und es ist nur eine Frage der Zeit, bis zur nächsten Katastrophe.
    Man sollte aber auch nicht empfehlen, den Port für SSH über 1024 zu ändern.


  • Man sollte aber auch nicht empfehlen, den Port für SSH über 1024 zu ändern.

    Warum nicht?

    "Üblicherweise" scannen Portscanner nur bis 1024, seltener höher...

    Sinnvoll: nur ausgewählte User dürfen per SSH rein (nein, kein root, kein pi...) und wie schon gesagt: kein sudo...

    Andererseits stellt sich (mir) die Frage: Warum sollte ich per ssh aus dem INet auf den RP?

    Wenn überhaupt, dann per VPN...

  • Zitat

    Warum nicht ?


    Bis 1024 sind die Ports von den Rechten her anders gestrickt, hab ich mal irgendwo gehört.
    Bei Portscans nehme ich immer alle 65535 Ports, es sein denn, ich weiss das der eine Port offen sein soll und scanne dann nur nach dem einen.


  • Das Problem sehe ich weniger in der Abschottung der Ports, da es daneben weitere Einfallsmöglichkeiten für ein initiales Schadcode-Script gibt, sondern im "sudo".
    [...]

    Das Script geht davon aus, dass der angemeldete/ausführende User nicht root ist, aber für sudo berechtigt ist.
    99 % der rPi Benutzer surfen im Internet als sudo-er und sind mit sudo - Erlaubnis am Pi angemeldet (mit, oder ohne Passwd).

    Sehe ich genauso. Mittlerweile ist ja bei der Raspi nicht mehr standardmäßig der Port 22 offen nach einer Installation. Aber immer noch hat der User Pi sudo Rechte.

    Das Problem liegt einfach darin dass die Leute beim raspbian es den Benutzern so einfach wie möglich machen woll(t)en. Dass dann die Benutzer ihre Raspis unbedarft aus dem Netz erreichbar machen ist fuer die Leute offensichtlich immer noch nicht auf dem Radar. Eigentlich sollte beim raspbian nach der Installation kein User sudo Rechte haben. Auch könnte man einen Account generieren und der Benutzer muss sich einen Namen - aber nicht pi :shy: - und ein eigenes Passwort - nicht raspberry :shy: - ausdenken.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!