Über 25.000 Server seien seit 2011 in einer Malware-Kampagne mit Backdoors ausgestattet worden, um Spam zu verschicken und HTTP-Traffic umzuleiten. Das schreibt der Security-Spezialist ESET in seinem Whitepaper “Operation Windigo”.

Unter diesem Codenamen fassen die Autoren die Einbrüche zusammen, die vor allem Linux- und BSD-Hosts betreffen. Sie beginnen typischerweise mit der Installation der SSH-Backdoor Linux/Ebury. Sie stiehlt SSH-Passwörter, wenn sich Benutzer auf dem befallenen Server anmelden oder sich von dort aus mit anderen Hosts verbinden. Daneben kommt die HTTP-Backdoor Linux/Cdorked zum Einsatz, die unter anderem Traffic über einen veränderten DNS-Server umleitet. Das Skript Perl/Calfbot versendet Spam-Mails.

Befallene Systeme sollen unter anderem bei Kernel.org und Cpanel.net stehen. Bereits den Angriff auf Kernel.org im Jahr 2011 (wir berichteten) rechnen die Forscher der Kampagne zu. Sie vermuten finanzielle Interessen hinter den Aktivitäten. Kriminelle wollen offenbar Profit aus dem Spamversand, der Weiterleitung von Web-Traffic auf Anzeigennetzwerke sowie Drive-by-Downloads auf Clients erzielen.

Die Untersuchung hat ESET zusammen mit CERT?Bund, der Swedish National Infrastructure for Computing, dem CERN und weiteren Organisationen in einer Arbeitsgruppe vorgenommen. Der rund 70-seitige Bericht steht ohne Registrierung zum kostenlosen Download bereit.

Besorgte Admins können mit folgender Kommandozeile ihr System einem ersten Test unterziehen:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"