Archiv 7. März 2020

Samstag, 7. März 2020

Phishing-Web-Site imitiert 20min.ch täuschend echt

Link zu diesem Artikel

Kürzlich poppte folgende Web-Site bei einer meiner Web-Surf-Touren auf. Auf den ersten Blick schaut die Web-Site aus wie 20min.ch. Aber eben nur fast. Sinn und Zweck entzieht sich mir, aber ich denke, dem Opfer soll eine äusserst vertraute Seite vorgegaukelt werden. Wie die Phisher die Web-Site aber mit Informationen gefüllt haben, ist mir immer noch ein Rätsel — die Artikel in der Seitenspalte beispielsweise finden sich nicht auf 20min.ch.

Ah doch:

Dies sagt uns auch gleich, dass die Phisher die Seite vermutlich am oder kurz nach dem 12. Juni 2019 abgegriffen haben.

Als ich einen Screenshot angefertigt habe, habe ich auch gleich herausgefunden, dass Firefox eine Möglichkeit bietet, die gesamte Web-Site in einem Bildschirmphoto zu verewigen. Natürlich habe ich davon gebrauch gemacht:

Die URL: postintercust[.]com/20min/click.php

Tags: , , , ,
Labels: Security

Keine Kommentare | neuen Kommentar verfassen

Samstag, 7. März 2020

Festplatte mit NTFS-Partition unter Linux mounten

Link zu diesem Artikel

Kürzlich fiel eine in einem ELK-System verwendete Magnetfestplatte aus. Ich ersetzte diese mit einer SSD, die hier seit einiger Zeit unbenutzt herumlag. Ergattert hatte ich diese bei einer Geschäftsauflösung in Kalifornien, wo sie ungefähr fünf Jahre in einem Schrank am Verstauben war.

Bevor ich die Festplatte formatierte, nahm mich der alte Inhalt darauf wunder. Die Platte wurde in einem Windows-System betrieben und war mit dem Microsoft NTFS Dateisystem formatiert.

Eine solche Festplatte mountet man folgendermassen unter Linux:

# apt-get install ntfs-3g
# mkdir /mnt/ntfs
# mount -t ntfs-3g /dev/sda1 /mnt/ntfs

Fazit: Nicht viel spannendes, vor allem dutzende ISO-Dateien von völlig veralteten Windows-Installationsmedien und Linux-Distributionen.

Tags: , , , , ,
Labels: Linux

Keine Kommentare | neuen Kommentar verfassen

Samstag, 7. März 2020

rkhunter betrachtet libkeyutils.so.1.9 als Malware

Link zu diesem Artikel

Kürzlich alarmierten mich Installationen von rkhunter auf einigen meiner Debian GNU/Linux-Server täglich über einen möglichen Malware-Befall:

Warning: The following processes are using suspicious files:
         Command: dig
           UID: 114    PID: 388
           Pathname: /lib/x86_64-linux-gnu/libkeyutils.so.1.9
           Possible Rootkit: Spam tool component
         Command: dig
           UID: 417    PID: 388
           Pathname: 2799
           Possible Rootkit: Spam tool component
         Command: dig
           UID: 418    PID: 388
           Pathname: 2799
           Possible Rootkit: Spam tool component
         Command: dig
           UID: 419    PID: 388
           Pathname: 2799
           Possible Rootkit: Spam tool component

Nach etwas Recherche dann die Erkenntnis:

Christian Hesse (eworm): But rkhunter has a match on the plain file name „libkeyutils.so.1.9“, see /usr/bin/rkhunter from line 9765. I guess any malicious software used that file name in the past. […]

A. Bosch (progandy): It seems there was an SSHD rootkit in 2013 that used the name. That should be the reason for the entry in rkhunter.

Quelle: FS#63369 – [keyutils] RKhunter reports a possible rootkit

Die Lösung des Problems ist in dem Forumsbeitrag ebenfalls beschrieben. Nachdem ich in rkhunter.conf folgende Zeile eingefügt hatte, verschwand die Warnmeldung:

...
EXCLUDE_USER_FILEPROP_FILES_DIRS=/lib/x86_64-linux-gnu/libkeyutils.so.1.9
...
RTKT_FILE_WHITELIST=/lib/x86_64-linux-gnu/libkeyutils.so.1.9
...

Tags: , , , ,
Labels: Linux

Keine Kommentare | neuen Kommentar verfassen