Malware auf gw02, gw06 und gw08 gefunden

Technik
1

Ich habe heute auf den Gateways gw02, gw06 und gw08 Malware gefunden. Die VMs wurden sofort abgeschaltet. Folgendes ist aufgefallen:

  • es gab jeweils einen unerwarteten Reboot
  • der SSH Port wurde auf 57 geändert
  • ssh Zugriff als root mit Passwort wurde erlaubt
  • es fanden sich verschiedene Binaries die dort liefen:
    • /etc/my.conf
    • /var/ssh.conf
    • /usr/bin/.sshd
    • /usr/bin/pythno
    • /usr/bin/bsd-port/knerl
    • und es ist gut möglich das es da noch mehr gibt was ich nicht gefunden habe.
  • Log Dateien (.bash_history, /var/log/auth.log.*) wurden gelöscht

Es sieht stark danach aus als ob die Gateways für ein Botnet gekapert wurden.

Die Reboots (ich vermute, dass das ganze etwa zu der Zeit begonnen hat) waren bei gw02 heute um etwa 07:00, bei gw06 Sonntag um etwa 04:30 und bei gw08 Sonntag um 06:20. Aber es kann natürlich auch sein das dort schon länger etwas schlummerte und dann jetzt erst aktiviert wurde oder halt so auffälig wurde.

Aktuell ist leider völlig unklar wie diese dorthin gekommen ist und wie ein erneuter Angriff verhindert werden kann (das ist das Hauptproblem).

Auf allen unseren Gateways läuft Debian 10 und alle Updates wurden installiert. Es gab ja neulich bei Salt eine Sicherheitslücke, da wurde aber auch das Update sehr zeitnah eingespielt. Auch spricht dagegen das hier ein Zusammenhang mit Salt besteht, die Tatsache das nur 3 Gateways betroffen sind. Sollte hier wirklich Salt angegriffen worden sein würde ich erwarten das alle Server betroffen wären und nicht nur 3 Gateways.

Es gibt die Überlegung ob es eventuell mit mesh-announce zusammenhängen könnte. Aber das ist halt eigentlich eher unwahrscheinlich, da dies eine kaum verbreitete Software ist. Vorsichtshalber wurde aber der Service auf allen Gateways gestoppt.

Mein „Bauchgefühl“ würde eher dafür sprechen das kein Angriff auf „Nutzerdaten“ stattgefunden hat. Und grundsätzlich sollte das Risikopotential nicht viel größer sein als generell bei einem öffentlichen WLAN, da heutzutage durch HTTPS der meiste Traffic ja transportverschlüsselt ist. Und bis auf die Zentralität könnte das auch schon früher im Freifunk Netz abgegriffen werden, sollte es jemand darauf anlegen.

Leider sehr viel Unwissenheit aktuell. Wir werden uns das auf jeden Fall noch genauer anschauen und dann über neue Erkenntnisse berichten.

4 „Gefällt mir“