niemand hat geschrieben:Ohne weitere Informationen bringt mir der Artikel nichts. Ich nutze kein nginx, was aber für ein Rootkit ansich unerheblich ist – dem Artikel nach dient der in erster Linie der weiteren Verbreitung.
ja, auch ich bedauere, dass der Artikel nicht mehr Informationen zum Infektionsweg offenlegt, allerdings denke ich, dass die Informationen absichtlich sparsam sind, damit diese zur Zeit ungeschützte Lücke nicht zum Ziel von Scriptkiddies wird.
Es könnte allerdings auch nur ein Konfigurationsfehler sein, der ausgenutzt werden kann.
Man weiß es eben nicht...
niemand hat geschrieben:Leider gibt es keine Informationen, auf welche Weise denn ein Server befallen werden könnte (hier könnte nginx eine Rolle spielen – man weiß es nicht). So kann man halt nicht viel mehr machen, als zu schauen, ob das entsprechende Modul geladen wird.
Genau dass war meine erste Aktion, ich habe nachgeschaut, ob auf unserem Server mit
nginx dieses Kernelmodul geladen wird.
Glücklicherweise betreuen wir nur einen Server mit dieser Konfiguration.
Nachtrag: Auf
ProLinux ist das Rootkit etwas genauer beschrieben, allerdings ist der Infektionsweg weiterhin unklar.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14
Freie Software unterstützen,
Grundrechte stärken!
