Der Linux-Trojaner Linux.MulDrop.14 soll den beliebten Mini-Computer Raspberry Pi angreifen und anschließend weitere Pis im Netzwerk infizieren – allerdings gibt es einen einfachen Schutz dagegen!
Der Trojaner hat es auf ältere Raspberry Pi Modelle abgesehen, die noch nicht die neueste Raspbian Version Jessi nutzen – und deren Standard-User und -Passwort nicht geändert wurden. Bei neueren Raspbian Versionen ist SSH nämlich zunächst abgeschaltet, außerdem wird man darauf hingewiesen, dass man das Standard-Passwort ändern soll.
Fragen zum Raspberry Pi? Wir helfen im Linux-Forum oder Smart-Home-Forum weiter!
Der Trojaner Linux.MulDrop.14 ist ein Bash-Skript, dass eine App zum Mining von Kryptowährung enthält, berichtet Techrepublik und beruft sich dabei auf die Antivirus-Spezialisten von Dr.Web. Da der Raspberry Pi nicht viel Leistung mitbringt, braucht man allerdings sehr viele infizierte Rechner, um damit genug Geld in der Krypto-Währung zu erzeugen: Wahrscheinlich nutzt das Skript daher auch die neue Währung Monera und nicht die bekannteren BitCoins.
Hat der Trojaner Linux.MulDrop.14 einen Rechner infiziert, ersetzt er zuerst das Passwort, damit der Besitzer sich nicht mehr anmelden kann. Anschließend startet er die Mining-Applikation, um Geld in der Krypto-Währung zu erzeugen – dazu braucht er natürlich CPU-Leistung des Raspberry, der in Folge langsamer auf andere Tasks reagiert. Gleichzeitig sucht er im Netzwerk nach weiteren Raspberrys, die er über den Port 22 ebenfalls infizieren kann.
So schützt man sich und den Raspberry
Der Schutz gegen den Trojaner ist zum Glück recht einfach: Durch die Installation des neuesten Raspbian-Systems oder dem Upgrade mit „sudo apt-get upgrade“ und dem Ändern des Standard-Passwortes kann man sich sehr effektiv vor dem Trojaner schützen. Und wer keine SSH-Verbindung zu dem Raspberry Pi braucht, sollte diese abschalten (auf allen Systemen seit Dezember 2016 ist SSH standardmäßig deaktiviert und muss erst manuell eingeschaltet werden): Dazu kann man mit „sudo raspi-config“ die Raspberry-Einstellungen öffnen und unter „advanced options“ SSH aktivieren oder deaktivieren.
SSH steht für „Secure Shell“, ein Netzwerkprotokoll, über das man einen Linux-Rechner über das Netzwerk fernsteuern kann: Per Konsole kann man dann sämtliche Kommandos eingeben, als würde man selber direkt vor dem Rechner sitzen.
Damit ist SSH praktisch, wenn der Raspberry nicht dauerhaft mit Bildschirm, Maus und Tastatur verbunden ist, sondern im Netzwerk spezielle Aufgaben – wie die Smart-Home-Steuerung, übernimmt.
Wenn SSH aber aktiviert ist und der Nutzer das Standard-Passwort des Users „Pi“ nicht geändert hat, kann auch ein Angreifer auf den Rechner zugreifen, wenn der Port 22 (der Port für den SSH Zugriff) nicht durch eine Firewall gesperrt ist. Wenn auch das Passwort des root Users nicht geändert wurde, bekommt der Angreifer – und in diesem Fall der Virus – die Kontrolle über den kompletten Rechner.