Gefällt dir dieser Artikel?

versteckter Schadcode: gefährliche Linux Howtos

erschienen in der Kategorie Software, am 12.07.2013
Schnatterente
Die meisten Linux Nutzer kennen das, man hat irgendein Software Problem und um es zu beheben, sucht man im Internet nach Lösungen. Der Open Source Community sei Dank, findet man so auch fast immer das passende Tutorial, Howto oder einen Foren- bzw. Blogeintrag, um den Fehler zu beheben. Doch solche Anleitungen können auch gefährlich sein!

Zumeist löst man Probleme unter Linux ja mithilfe einer Konsole. Die Tutorials beinhalten oft die geeigneten Befehle, die man dann nur noch in seine Bash kopieren muss und schon ist dieser oder jener Fehler gefixt.

Doch genau hier steckt das Problem. Böswillige Tutorial-Autoren können einem auf diesem Wege auch schädlichen Code unterjubeln. Dies kann einerseits offensichtlich passieren, indem sie den Schadcode einfach mit auf die Seite schreiben (so erwischt es nur komplett ahnungslose Linuxnutzer) oder es geschieht versteckt.

Unter Zuhilfenahme kleiner HTML- bzw. CSS-Tricks kann man es erwirken, dass Nutzer auf einer Internetseite mehr Code markieren und kopieren, als sie mit dem bloßen Auge sehen können. Fügen sie diesen dann in ihr Terminal ein und führen ihn (bestenfalls auch noch als Root-Nutzer) aus, kann dies so ziemlich alle vorstellbaren Folgen haben, von der Installation eines Rootkits bis hin zur Löschung wichtiger Dateien. Für den beschriebenen Angriff benötigt man übrigens nicht mal Javascript.

Beispiel: versteckter Schadcode via Copy & Paste

Der folgende Befehl sollte eigentlich nur ein paar Informationen über den Linux-Kernel anzeigen. Kopiere ihn in eine Konsole und schau was passiert (ja, der Code ist ungefährlich).

uname > /dev/null; clear; echo -n "Hallo ";whoami|tr -d '\n'; echo '! Führe niemals irgendwelchen Code aus, den du nicht kennst!'
uname
-a

Wenn du sehen willst, was du da eigentlich kopiert hast, füge es in einen Editor deiner Wahl ein.

Sicherheit geht vor

Was lernen wir daraus? Man sollte nie irgendwelche Befehle von irgendeiner Webseite einfach so in die Konsole kopieren, denn schon beim Einfügen können sie gestartet werden, wenn man einen Zeilenumbruch mitkopiert hat. Beinhaltet der Code versteckte Befehle, ist es dann schon zu spät. Daher ist es besser die Befehle immer erst in einem Editor zu überprüfen oder sie im Zweifelsfall abzuschreiben, anstatt mit Copy & Paste zu arbeiten. Außerdem sollte man sich immer die Frage stellen, wann es wirklich sinnvoll ist, Befehle als Root auszuführen und wann diese Rechte gar nicht nötig sind.



Ergänzung: Weil die Nachfrage kam, wie das funktioniert: Der hier demonstrierte Angriffsweg ist eigentlich nicht neu und ziemlich offensichtlich. Das Vorgehen ist sehr simpel. Man fügt in den zu kopierenden, auf der Webseite gezeigten Code einfach einen Span-Tag mit den bösartigen Befehlen ein und sorgt via CSS-Formatierung dafür, dass dieser absolut und außerhalb des sichtbaren Webseitenbereichs platziert wird. Somit kopiert man den Schadcode mit, sieht ihn aber nicht. Dem Angreifer sind dabei keine Grenzen gesetzt, er kann alles ausführen, was er möchte.

Geschnatter

9 Kommentare, selbst mitschnattern << < Seite 2/2 > >>
Anderer Anonym, am 08.02.2014 um 01:11 Uhr
@Anonym:
Was ist daran bitte kein Hack?
Marcel, am 15.06.2014 um 07:50 Uhr
@Anonym @Alexander @Ephraim
JS und CSS lassen sich derzeit nur auf einfache Art und Weise mit einer entsprechenden Toolbar in FF deaktivieren. Dabei empfehle ich die Webdeveloper Toolbar von Chris Pederick (http://chrispederick.com/)