Malware auf GNOME-Look

Auf Gnome-Look.org, der OpenDesktop-Seite für grafischen Gimmicks für GNOME ist ein DEB-Paket mit Malware  aufgetaucht. Dar Autor gabe vor, das Paket installiere einen Bildschirmschoner. Anstelle von diesem enthielt es jedoch eine kleine Routine für eine simple DOS-Attacke auf eine Spiele-Community.

Falls ihr dieses Paket geladen haben solltet, könnt mittels

$ ps aux | grep ping
user     28835  0.4  0.0   1940   800 pts/2    S+   03:05   0:00 ping -s 65507 www.mmowned.com

…überprüfen ob Ihr Euch das Ding installiert habt. Falls dieser Ping auftaucht, dann könnt Ihr via…

$ sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

alles rückgängig machen.

Das Paket wurde umgehend von GNOME-look entfernt und es wurden auch keine Sicherheitslücke in Linux ausgenutzt.

Offenbar versuchte jemand mit diesem Paket eine DOS-Attacke auf eine Spieleseite zu starten. (Was bei der momentanen Verbreitung von Desktop-Linuxsystemen sowieso fraglich war :-P)

An diesem Beispiel zeigt sich, wie gut das soziale Netz der Linux-Community funktioniert: Das Paket war nicht lange auf GNOME-Look vorhanden und wurde nach einer Meldung umgehend entfernt. Auch zeigt sich mal wieder, dass man nicht bedenkenlos alles installieren soll, was man vorfindet: Die größte Sicherheitslücke war schon immer der Benutzer und wird auch in Zukunft der Nutzer sein, bestes Sicherheitskonzept oder nicht.

Ich entwickle ja mit dem Listaller-Projekt eine Lösung, die Installationen unter Linux noch einfacher machen soll. Für die aktuell in Entwicklung befindliche version 0.4 des Listallers war eigentlich keine signierung von Paketen geplant. Doch in Fällen wie diesen könnte eine Signierung von Paketen es möglich machen, dass nur Pakete mit einer “offiziellen” Signatur schnell installiert werden können, andernfalls wird eine Warnung ausgegeben. Zudem lässt sich durch die Signierung eines Paketes schnell der Ersteller von diesem ausfinding machen.

Der GNOME-Look-Vorfall hat deutlich gezeigt, dass es auch unter Linux das Problem mit “verseuchten” Paketen geben wird. Darum werde ich zumindest den IPK und IPS Standard des Listallers um eine Signierungsfunktion erweitern. Vielleicht wird dann sogar schon der Listaller 0.4 eine ruditimäre Unterstützung von Signaturen haben.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.