In der von Sicherheitsforschern getauften Operation Windigo wurden sehr viele Server infiziert.

Die Server stehlen ssh-Credentials, leiten Webbesucher auf Schadwebsites um, oder versenden Spammail.

Es traf auch die großen Linux-Organsiationen wie cPanel und die Linux Foundation. Angeblich wurden dabei keine Vulnerabilities ausgenutzt sondern kompromittierte Zugangsdaten. oops.

Einer meiner Server ist auch betroffen von Ebury. 

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

Wenn dieses Kommando „System infected“ ausgibt, ist eine Neuinstallation angesagt 🙁

Alle weiteren etwaigen Infektionen (http-Server, perl) lassen sich der Analyse entnehmen.

 

Mehr unter:

OPERATION WINDIGO: Malware Used To Attack Over 500,000 Computers Daily After 25,000 UNIX Servers Hijacked By Backdoor Trojan