Linux-Wurm Lupper mutiert
Neue Varianten des mitunter auch als Plupii und Mare bezeichneten Schädlings bahnen sich ihren Weg auf Linux-Server auch durch eine Lücke im Content-Management-System Mambo.
Seit Ende vergangener Woche kursieren neue Varianten des Linux-Wurms Lupper im Internet. Im Bezeichnungswirrwarr der Antivirenhersteller tauchen sie unter diversen Namen auf: Plupii.C [1], Lupper.worm.b [2], Lupper-I [3] oder auch Mare.d [4]. Die neuen Varianten unterscheiden sich in erster Linie durch die Benennung der nachgeladenen Schadprogramme sowie des installierten Trojaner-Typs.
Die erste Lupper-Generation nutzte die längst behobene XMLRPC-Lücke [5] beispielsweise in Wordpress, TikiWiki, phpGroupware und Drupal sowie Schwachstellen in AWStats [6] und Webhint aus. Die neuen Lupper-Varianten versuchen zusätzlich, über eine Lücke im freien Content-Management-System Mambo [7] in Webserver einzudringen. Einmal dort zur Ausführung gelangt, beginnen sie mit dem Nachladen und Starten von weiteren Schadprogrammen, darunter auch der erwähnte Trojaner. Dieser verbindet sich mit einem IRC-Server und wartet dort auf weitere Befehle, beispielsweise für Denial-Of-Service-Angriffe gegen andere Rechner. Befallene Rechner werden dadurch Teil eines Bot-Netzes.
Betroffene Linux-Server sind in der Regel an verdächtigen, ausführbaren Dateien im /tmp-Verzeichnis und gleichnamigen laufenden Prozessen erkennbar. Mögliche Namen sind unter anderem gicumz, httpd, https, cb und ping.txt. Ebenfalls auffällig sind ein offener UDP-Port 27015 sowie ausgehende IRC-Verbindungen nach Port 6667, die sich mit dem Befehl "netstat -an --inet" auflisten lassen. Die der Redaktion vorliegende Lupper-Variante ist darüber hinaus mit dem Virus RST.b [8] infiziert. Dieser verhindert unter Umständen eine ordnungsgemäße Ausführung des Wurms unter aktuellen Linux-Kerneln der Serie 2.6.
Wer noch immer eine verwundbare Mambo-Installation betreibt, sollte umgehend eine aktuelle Version installieren und seinen Server auf mögliche Einbruchspuren untersuchen. Zumindest die nachgeladenen IRC-Trojaner werden in der Regel von allen gängigen Antivirenprogrammen erkannt.
Siehe dazu auch: (cr [9])
- Kritische Lücke in Content Management System Mambo [10]
- Schwachstellen in PHP-Modulen gefährden zahlreiche Webapplikationen [11]
- Website-Statistiker AWStats führt beliebige Befehle aus [12]
URL dieses Artikels:
https://www.heise.de/-177668
Links in diesem Artikel:
[1] http://securityresponse.symantec.com/avcenter/venc/data/linux.plupii.c.html
[2] http://vil.nai.com/vil/content/v_136856.htm
[3] http://www.sophos.com/virusinfo/analyses/linuxlupperi.html
[4] http://www.viruslist.com/en/viruses/encyclopedia?virusid=112455
[5] https://www.heise.de/news/Schwachstellen-in-PHP-Modulen-gefaehrden-zahlreiche-Webapplikationen-123008.html
[6] https://www.heise.de/news/Website-Statistiker-AWStats-fuehrt-beliebige-Befehle-aus-122413.html
[7] https://www.heise.de/news/Kritische-Luecke-in-Content-Management-System-Mambo-149521.html
[8] https://www.heise.de/news/Mozilla-Mirror-lieferte-infizierte-Software-aus-Update-131895.html
[9] mailto:cr@ct.de
[10] https://www.heise.de/news/Kritische-Luecke-in-Content-Management-System-Mambo-149521.html
[11] https://www.heise.de/news/Schwachstellen-in-PHP-Modulen-gefaehrden-zahlreiche-Webapplikationen-123008.html
[12] https://www.heise.de/news/Website-Statistiker-AWStats-fuehrt-beliebige-Befehle-aus-122413.html
Copyright © 2006 Heise Medien