Gemeinsam gegen Malware

Am Wochenende wurden zwei Kundenanwendungen auf Hostsharing Managed Servern gehackt. Das Hostsharing-Technik-Team entdeckte die auffällige Ressourcennutzung, schaltete den Schadprozess ab und verständigte unmittelbar das betroffene Mitglied. Im Anschluss unterstützte Hostsharings Webmaster on Demand das Team des Kunden bei der Neuinstallation der betroffenen Anwendungskomponente und der Übernahme der Daten. On top gab es eine Schwachstellenanalyse und Hinweise zur Verbesserung der Sicherheit der Webapplikation.

Kundenanwendung kompromittiert – Webmaster on Demand jagt erfolgreich “kthreaddi”

Am vergangenen Wochenende wurde die Hostsharing Technik durch das 24/7 Monitoring alarmiert und über erhöhten Ressourcenverbrauch auf zwei Kundensystemen informiert. In beiden Fällen fiel ein Prozess namens “kthreaddi” aus dem Rahmen. Allerdings war zunächst die Ursache des Ressourcenverbrauchs noch unklar. Was konnte “kthreaddi” für ein Prozess sein? Recherchen und die Analyse des Prozesses ergaben, dass es sich um eine Crypto-Miner-Schadsoftware handeln musste. Diese Schadsoftware lief auf der Staging-Umgebung und einem der Produktivsysteme des Kunden.

Ad-hoc-Maßnahmen

Im ersten Schritt wurden die Malware-Prozesse beendet und die zugehörigen Applikationskomponenten deaktiviert. In beiden Fällen handelte es sich um Instanzen von CouchDB. Konsequenterweise löste anschließend der Alarm des kundenspezifischen Anwendungsmonitorings aus und meldete Fehlfunktionen der Webanwendung. Das Hostsharing Team kontaktierte das betroffene Mitglied, berichtete über den Sachverhalt und begann mit der Koordination der gemeinsamen nächsten Schritte:

  • Untersuchung des Ausmaßes und der Ausweitung der Kompromittierung
  • Identifizierung des Einfallstores bzw. Infektionswegs
  • Neuinstallation von CouchDB
  • Überprüfung und Migration der Daten

Identifizierung des kompromittierten Rechtebereichs

Es konnte sichergestellt werden, dass die Kompromittierung auf den Sicherheitskontext der jeweiligen Service User begrenzt geblieben war. Das Mitglied war bei der Installation unseren Empfehlungen gefolgt und hatte die Gesamtanwendung in viele kleine Sicherheitszonen aufgeteilt. Dies erwies sich aus Sicht des Mitglieds als Glück im Unglück, da die betroffenen CouchDBs lediglich öffentlich abrufbare Daten enthielten und eine Ausweitung des Zugriffs auf Datenbanken mit sensiblen Kundendaten so wirksam verhindert werden konnte. Die Analyse von Logfiles zeigte, dass die Kompromittierung durch direkte Zugriffe auf CouchDB erfolgt war.

Neuinstallation von CouchDB und Fehlersuche

Für die Wiederinstandsetzung der Webanwendung wurden neue Service-User angelegt und CouchDB durch das Mitglied mit allerneustem Patchlevel frisch installiert. Anschließend wurde die neue CouchDB wieder mit Unterstützung des Webmaster-on-Demand-Teams mit den bisherigen Inhalten versorgt. Hostsharing unterstützte den Kunden bei der Überprüfung des CouchDB-Berechtigungskonzeptes und bei der Migration der Daten in die neuen Installationen. Allerdings zeigten sich mysteriöse Fehler bei bestimmten Zugriffen auf die Datenbank. Der Webmaster on Demand sichtete Logfiles und nahm letztlich die CouchDB mit einem Debugger unter die Lupe. Es zeigte sich, dass eine vom Kunden implementierte Servererweiterung mit dem neuen Minor Release der CouchDB nicht mehr kompatibel war. Mit vereinten Kräften konnte auch dieses Problem gelöst werden. Abschließend führte Hostsharing einen kleinen Security Audit auf der Anwendungskomponente durch und gab einige Hinweise zur Optimierung der Konfiguration.

SLA sorgt für kürzere Wiederherstellungszeiten

Nach mehreren Stunden war schließlich die ursprüngliche Webanwendung frei von “kthreaddi” und erfolgreich wieder hergestellt. Die Wiederherstellung erfolgte in enger Zusammenarbeit zwischen der Technik des Mitglieds und dem Hostsharing Webmaster-on-Demand-Team. Der Einsatz erfolgte außerhalb der Geschäftszeiten auf der Grundlage des vom Mitglied gebuchten Service Levels Agreements (SLA). Trotz der anspruchsvollen Aufgabe konnte in nur wenigen Stunden gemeinsamer Arbeit die Webanwendung “gesäubert” wieder hergestellt werden. “Top Service”, schrieb uns das Mitglied.

Was kann daraus gelernt werden?

Ein ständiges Monitoring der Serversysteme ist unerlässlich, um Probleme zeitnah aufzudecken. Die Hostsharing Managed Operations Platform unterstützt Mitglieder dabei, Webanwendungen gemäß best practice zu betreiben. Durch den Personaleinsatz entsprechend dem gebuchten Service-Level und der dadurch gewährleisteten Verfügbarkeit geeigneten Personals können sie auch zügig beseitigt werden. Das Webmaster-on-Demand-Angebot stellt eine attraktive Ergänzung der Inhouse-Kapazitäten und -Kompetenzen unserer Mitglieder dar. Ein adäquater Service-Level sichert die zeitgerechte Unterstützung durch den Hostsharing Service.

von Dr. Martin Weigele, Michael Hierweck – erschienen am 21.05.2022 – Team, Technik, Sicherheit