News: England im Feuer
Die Tommies drehen frei: Der Hoster Fasthosts soll Linux-Systeme mit Malware/Trojanern (Loadable Kernel Module (LKM)) unter die Leute bringen, d.h. die Server, die die Pfennig-Sites hosten, sind bereits verseucht.
Der Code würde sich ständig ändern, so dass die Schad-Software schwer zu erkennen sei.
Die Berichte sprechen von massiven Angriffen.
Quelle: IT Pro
KarstenW 
Redaktion „Under Fire“
Deshalb soll man auch einen eigenen Betriebsystemkern übersetzen, vor allem im Serverbereich.
Im Serverbereich wird immer ein monolitischer Betriebsystemkern empfohlen, also ohne Kernelmodule.
Man kann sich notfalls auch den Programmcode von http://www.kernel.org herunterladen und übersetzen. Allerdings sind für das Stopfen der Sicherheitslöcher die Distributionen zuständig.
Ein Betriebsystem muß man sich selbst sicher konfigurieren. Dazu muß es flexibel, transparent und erweiterbar sein. Eigenschaften die nur Linux und Unix bieten, aber leider nicht Windows.
the_mic KarstenW „Deshalb soll man auch einen eigenen Betriebsystemkern übersetzen, vor allem im...“
Das ist richtig, aber leider geht das nicht immer. Wenn ein externer Treiber benötigt wird, muss die Fähigkeit erhalten bleiben, externe Module nachzuladen.
Bei unserm Webserver hab ich den Kernel allerdings auch so konfiguriert, dass keine Module geladen werden können.
Tuxus Redaktion „Under Fire“
Wenn ich das richtig verstanden habe, wird durch den Hoster JavaScript auf dem Server aktiviert. Dies aber nur, wenn ein Nutzer auf die Seite geht. Beim Admin des Servers wird es nicht aktiviert und daher kann er es auch nicht erkennen.
Das Javascript nutzt einen 18 Monate alten Fehler in den Microsoft DA Komponenten und einen kürzlich entdeckten Fehler im Streaming Protokoll vom Quicktime Player.
Ist das Javascript erfolgreich, wird auf den Nutzerrechner ein Trpjaner übertragen, der Passwörter mitprotokolliert.
ScanSafe advised that JavaScript malware file includes multiple exploits, including an 18-month-old Microsoft Data Access Components (MDAC) vulnerability and a recently spotted flaw in Apple's QuickTime media player real time streaming protocol (RTSP).
Successful attacks infect the user's computer with a Trojan, which can allow a hacker to install further spyware or keylogging software.
Meine Folgerung:
- Nutzer mit dem Firefox-Addon "NoScript" waren geschützt, solange sie es auf diesen Seiten deaktiviert hatten.
- Nutzer waren geschützt, wenn das Microsoft DAC gepatcht war und sie Apples QuicktimePlayer nicht nutzten.
Ziemlich krasse Meldung, wenn man bedenkt, das direkt der Hoster betroffen ist.
the_mic Tuxus „Wenn ich das richtig verstanden habe, wird durch den Hoster JavaScript auf dem...“
Die Meldung ist mal wieder auf üblichem Niwoh: ohne jegliche Aussagekraft :-(
Jens2001 the_mic „Die Meldung ist mal wieder auf üblichem Niwoh: ohne jegliche Aussagekraft :- “
