Een groot aantal Duitse Linuxservers is met de Ebury-rootkit geïnfecteerd, zo waarschuwt de Duitse overheid. Ebury is een SSH-rootkit die een backdoor op besmette servers opent. De malware kan Linux en Unix-achtige systemen infecteren en is al een aantal maanden actief.
Infecties zouden onder andere plaatsvinden via aanvallen op beveiligingslekken die niet door de beheerders zijn gepatcht. Eenmaal actief op de server steelt de rootkit inloggegevens en stuurt die naar de aanvaller. Het gaat dan onder andere om wachtwoorden en gebruikersnamen voor SSH-verbindingen, alsmede SSH-privésleutels, waarmee de aanvallers ook toegang tot andere systemen krijgen.
Wereldwijd zouden er duizenden servers met de malware zijn besmet. De servers worden voor allerlei criminele doeleinden ingezet, zoals het doorsturen van bezoekers naar besmette websites, het infecteren van bezoekers van gehoste websites met malware en het versturen van spam.
Eigenaren van een besmette server die via hun provider zijn ingelicht krijgen het advies van het Bundesamt für Sicherheit in der Informationstechnik (BSI) om de server helemaal opnieuw te installeren. Het wijzigen van de wachtwoorden heeft namelijk geen zin, aangezien de malware een backdoor op de besmette server opent waardoor de aanvallers direct toegang hebben. Deze backdoorverbinding is niet zichtbaar in de logbestanden. In deze FAQ geeft het BSI aanwijzingen hoe een infectie is te herkennen.
Deze posting is gelocked. Reageren is niet meer mogelijk.