Linux-Wurm verbreitet sich offensichtlich rasant

Ein Internet-Wurm namens Ramen attackiert Server, die unter der Linux-Distribution von Red Hat laufen, und verbreitet sich anscheinend recht schnell. Aufgefallen sind seine Aktivitäten durch vermehrte Scans auf Remote Procedure Call Services (RPC). Der Wurm nutzt zwei längst bekannte Sicherheitslücken im FTP-Server wuftpd und dem Programm rpc.statd aus, die offensichtlich auf vielen Linux-Rechnern immer noch nicht beseitigt wurden. Bereits im September 2000 warnte das Computer Emergency Response Team (CERT) vor vermehrten Angriffen dieser Art.

Jetzt haben Cracker aus bereits existierenden Tools einen Wurm gebastelt, der sich selbstständig verbreitet. Dazu sucht er ganze Netze nach weiteren potenziellen Opfern ab, die er dann ebenfalls befällt. Auf Web-Servern ersetzt der Wurm die Einstiegsseite mit einer HTML-Datei des Inhalts "RameN Crew--Hackers looooooooooooove noodles.". Außerdem installiert Ramen einen so genanntes Root-Kit, das seine Aktivitäten verschleiern soll – und stopft anscheinend sogar die beiden Sicherheitslöcher. Ernsthaften Schaden scheint er auf den Systemen nicht anzurichten. Ähnlich wie der berühmte Morris-Wurm, der 1988 seine Runde machte, verbreitet sich Ramen ohne Aktionen von Benutzern oder Administratoren der betroffenen Server weiter.

Die Sicherheitslücken betreffen nahezu alle Linux-Distributionen, die älter als ein halbes Jahr sind. Der Wurm selbst jedoch kann nur Systeme mit Red Hat 6.2 und 7.0 befallen. Wer sich unsicher ist, ob die beiden erwähnten Dienste auf seinem Linux-Rechner installiert oder ob die Sicherheitslöcher bereits beseitigt wurden, sollte die folgenden CERT-Advisories lesen und gegebenenfalls die Patches des Herstellers der Linux-Distribution einspielen:

CA-2000-17, Input Validation Problem in rpc.statd

CA-2000-13, Input Validation Problems In FTPD

Weitere Hinweise zur Vermeidung und Abwehr von Würmern und Viren findet man auf der Anti-Viren-Seite von c't. (ju)