Viren unter Linux/Unix erfordern besondere Aufmerksamkeit. Denn über die Schwachstellen von Unix und Linux wissen viele Administratoren wenig, und es gibt noch kaum Schutzsoftware.
Vor gar nicht allzu langer Zeit gingen viele Administratoren davon aus, dass Linux oder andere Unix-basierte Plattformen geradezu immun gegen Viren und Würmer seien.
Es ist nicht ganz klar, warum sie bei der Bewertung dieser Risiken zu einem so selbstgefälligen Ergebnis kamen - insbesondere wenn man bedenkt, dass der erste bedeutende Wurm, der 1988 von Robert Morris entwickelt wurde, von Unix-Systemen mit dem bekannten Sendmail-Messaging-Programm freigesetzt worden war. Vielleicht liegt es daran, dass man angesichts der ganzen Kritik an der Sicherheit der Betriebssysteme und Software von Microsoft, die ja Hauptangriffsziele der Virenschreiber sind, die bestehenden Schwachstellen unter Unix aus den Augen verloren hat.
Mit der Nachricht über die Infizierung von Linux-Plattformen mit dem Klez-Virus erinnerten führende Anbieter von Antiviren-Programmen daran, dass Microsoft nicht das einzige anfällige Betriebssystem für Virenangriffe sei. Zwar sind die Anwender von Linux und anderen bekannten Unix-Plattformen nicht gerade passionierte Anwender der Software-Pakete von Microsoft, welche die Viren übertragen. Doch haben auch Linux und Unix ihre Schwachstellen, selbst wenn diese auf den ersten Blick verborgen bleiben.
Neben dem Klez-Virus wurden Linux-/Unix-Plattformen auch von anderen Attacken heimgesucht, unter anderem vom Lion-Wurm und den Viren OSF.8759, Slapper, Scalper, Linux.Svat und BoxPoison.
Zum Beispiel vor zwei Jahren bei einer Sicherheitsrevision eines der größten europäischen Finanzunternehmen: Dort teilte ein bekannter Sicherheitsexperte mit, dass das Unix-Betriebssystem gegenüber Viren nicht anfällig sei. Die Zuhörer akzeptierten diese Aussage und notierten, dass die Unix-Systeme gegenüber Virenangriffen sicher seien. Diese Zeiten sind vorbei: Heute kann man davon ausgehen, dass Auditoren und IT-Sicherheitsexperten strengere Anforderungen an den Virenschutz und die Erstellung von diesbezüglichen Leitlinien für Unix-Plattformen stellen.
Alexander Bartolich, Student aus Österreich, hat sogar ein Handbuch zur Erstellung des ELF-Virus für Linux verfasst. Bartolich behauptet dabei nicht, ein Pionier im Verfassen von Linux-Viren zu sein - er habe lediglich die bereits dokumentierten Linux-Schwachstellen für Viren-, Wurm- und Trojanerbefall anschaulicher und verständlicher präsentiert. Derartige Enthüllungsschriften im Internet führen nun zu einer Ausbreitung von Unix-basierten Viren, vor allem wegen der wachsenden Beliebtheit von Linux-Servern im Business-Bereich. Systemadministratoren sollten vielleicht selbst einen Blick in das Handbuch werfen, um so Linux-Schwachstellen besser einschätzen zu können.
Virenschreiber stellen eine erhebliche Gefahr dar, da sie wissen, wie man Codes verfasst, und sich nicht wie viele Hacker mit dem harmloseren Angriff auf Websites begnügen, der wesentlich weniger Kenntnisse als das Schreiben von Viren erfordert. Eine durch Hacker attackierte Internetseite kann schnell wiederhergestellt werden, Viren operieren dagegen im Verborgenen. Sie können sogar so lange unerkannt bleiben, bis sie irreparable Schäden an geschäftskritischen Systemen hervorgerufen haben.
Nicht alle Versionen dieser Plattformen waren bereits betroffen - hier die bereits von Viren angegriffenen Linux-/Unix-Plattformen:
- Suse Linux
- Mandrake Linux
- Red Hat Linux
- Debian GNU Linux
- Slackware Linux
- Free BSD
- HP/UX
- IBM AIX
- SCO Unixware
- SCO OpenServer
- Sun Solaris
- Sun OS
Je mehr Linux-/Unix-Systeme ein Unternehmen in seine LAN- und WAN-Netzwerke integriert, desto größer ist die Angriffsfläche für die sich schnell verbreitenden Unix-Viren. Linux- und Unix-Systeme mit WINE sind dabei besonders anfällig. WINE ist eine Open-Source-Software, die Windows-Anwendungen unter Unix ausführbar macht. Systeme mit WINE sind stark gefährdet, da sie von Viren, Würmern und Trojanern sowohl auf Unix- als auch auf Windows-Basis angegriffen werden können.
Wie sieht die Bedrohung aus?
Wie zu erwarten, funktionieren Linux-/Unix-Viren anders als Viren für Windows-Betriebssysteme. Dennoch arbeiten die Viren, Würmer und Trojaner unter Unix nach dem gleichen Prinzip wie die Codestrukturen, die bei Windows zuschlagen.
Dabei muss man bedenken, dass ein Virus nichts anderes als ein Programm ist, das ohne Erlaubnis des Anwenders andere Programme infiziert oder zerstört. Ein Wurm ist hingegen ein sich selbst replizierender Teilcode, der ohne Erlaubnis des Anwenders aktiv wird. Auch Programmfehler können ohne Erlaubnis einen selbst replizierenden Code erzeugen, allerdings geschieht dies im Gegensatz zum Virus unbeabsichtigt. Trojaner verbergen ihre Absichten, um elektronische Schäden hervorzurufen. Unter Unix kann ein Trojaner den Namen eines regulären Programms (zum Beispiel tar oder df) annehmen, bei seiner Ausführung wird dann jedoch ein ganzes Dateisystem gelöscht.
Funktionsweise der Viren und Würmer
Zur Verdeutlichung des potenziellen Zerstörungsausmaßes eines Virus, Wurms oder Trojaners unter Unix werden im Folgenden einige Szenarien zu deren Funktionsweisen aufgezeigt. Natürlich hat jeder Virus, Wurm oder Trojaner seine individuellen Eigenarten und Verhaltenweisen, doch sollen die folgenden Beispiele aufzeigen, wie sie sich tendenziell unter Linux/Unix verhalten.
Erstes Beispiel ist der Linux-Slapper-Wurm, der den Apache-Server befällt. Zuerst scannt er den HTTP Port 80 mittels einer ungültigen GET-Anfrage, um die verwendete Apache-Version zu ermitteln, so dass er sich an das entsprechende Zielsystem anpassen kann. Bei den so entdeckten verwundbaren Systemen stellt der Wurm eine Verbindung über Port 443 her, um sich mithilfe der Pufferüberlauf-Schwachstelle in dem Zielsystem einzunisten.
Anschließend kompiliert der Wurm seinen eigenen Quellcode mittels eines lokalen Compilers wie gcc. Die so entstehende Binärdatei wird vom /tmp-Verzeichnis ausgeführt und fragt einen UDP-Port ab, um weitere Befehle für den Start verteilter Denial-of-Service (DDoS)-Angriffe zu erhalten. DDoS-Angriffe erzeugen TCP-Floods, die das System lahm legen können. Einige Varianten von Slapper können ein ganzes Netzwerk der Klasse B nach Schwachstellen der Apache-Server scannen.
Ein anderer Wurm, der Linux-Lion-Wurm, scannt über Port 53 wahllos Klasse-B-Netzwerke nach angreifbaren Versionen des BIND, dem meistgenutzten DNS-Server unter Linus/Unix. Wenn ein Kandidat für eine Infektion gefunden ist, werden Log-Dateien gelöscht und verschiedene Trojaner-Dateien installiert, um die Existenz des Wurms zu verbergen. Lion erstellt unter anderem folgende Trojaner-Dateien:
/bin/in.telnetd /bin/mjy /bin/ps /bin/netstat /bin/ls /etc/inetd.conf /sbin/ifconfig /usr/bin/find /usr/sbin/nscd /usr/sbin/in.fingerd /usr/bin/top /usr/bin/du
Diese Dateien sehen auf den ersten Blick wie normale Unix-Dateien und Utilities aus, so dass zunächst keinerlei Verdacht aufkommt - daher auch die Bezeichnung Trojaner.
Um seine Spuren zu verwischen, kann Lion in Linux folgende Dateien löschen:
/.bash_history /etc/hosts.deny /root/.bash_history /var/log/messages /var/log/maillog
Bei befallenen Systemen leitet Lion Passwortdateien an entfernte Computer weiter beziehungsweise starten andere Varianten des Wurms Passwort-Sniffer zur Ermittlung der Kennwörter aus aktiven Verbindungen. Hacker können dann über den entfernten Rechner auf das System zugreifen, um DDoS-Angriffe zu starten, Kreditkartennummern zu stehlen oder sonstige vertrauliche Daten und Aufzeichnungen zu entwenden oder zu löschen.
Da Linux zu den beliebtesten Unix-Plattformen zählt, ist der Großteil der neuen Antiviren-Programme für Unix-Systeme mit Linux ausgelegt. Einige Anbieter vertreiben jedoch auch Pakete für weniger verbreitete Unix-Plattformen. Unternehmen, die mit Solaris, FreeBSD oder sonstigen Produkten aus der Unix-Familie arbeiten, können allerdings auf keine große Auswahl an Antiviren-Produkten hoffen. Natürlich steckt der Markt der Antiviren-Software für Linux-/Unix-Plattformen noch immer in den Kinderschuhen, weshalb bislang nur wenige Hersteller Pakete für verschiedene Linux-/Unix-Plattformen im Sortiment haben. Dies sind unter anderem folgende Anbieter:
- Computer Associates
- F-Secure
- Kaspersky
- Sophos
- Symantec
- Trend Micro
Einige der Antiviren-Produkte für Unix-Systeme sind speziell für die Installation in Firewalls konzipiert, so dass Unix-Viren an der Firewall gestoppt werden können, bevor sie in andere Systeme gelangen. Andere Unix-Antiviren-Produkte wurden speziell für Messaging- und Groupware-Server entwickelt.
Schutz vor automatisierten Hacker-Attacken
Viren, Würmer und Trojaner sind im Grunde genommen nur automatisierte Hackerverfahren. Die Wahrscheinlichkeit, dass ein Linux-/Unix-System von einem Virus infiziert wird, ist wesentlich höher als die eines direkten Hackerangriffs. Direkte Attacken zielen für gewöhnlich auf Server ab, während Viren überall Schaden anrichten können. Daher sollten Netzwerke mit Linux-/Unix-Systemen, insbesondere geschäftskritischen Servern, rechtzeitig vor Viren, Würmern und Trojanern für Unix geschützt werden. Ein geeignetes Antiviren-Programm bewahrt die Systeme vor Virenbefall, bevor es zu spät ist.