Linux-Wurm verbreitet sich rasant

Aufmacher News

Linux-Wurm verbreitet sich rasant

Andreas Bohle
18.01.2001

Der Netzwurm mit dem Namen Ramen breitet sich derzeit über zwei Sicherheitslücken auf Servern aus, die unter Red Hat Linux Laufen. Auffällig viele Remote Procedure Calls deuten auf die Anwesenheit des Wurms hin. Dieser nutzt eine Schwäche im rpc.statd sowie im FTP-Programm wuftp aus.

Der Wurm ist nich im eigentlichen Sinne schädlich: Er tauscht auf Web-Servern die Startseite aus gegen eine auf der dann der Text: "RameN Crew--Hackers looooooooooooove noodles." steht. Ausserderm scheint er die Sicherheitslücken zu schließen. Er installiert jedoch gleichzeitig ein sogenanntes Root-Kit, das die Spuren seiner Anwesenheit verwischen soll. Betroffen sind vor allem die Red Hat Versionen 6.2 und 7. Wer sich gegen die Angriffe schützen und für die Zukunft sichern möchte, kann zwei Patches einspielen, die auf der unten angegebenen Seit des Computer Emergency Response Teams bereitliegen.

Ähnliche Artikel

Kommentare
Beschreibung des Wurms
(unangemeldet), Montag, 22. Januar 2001 22:28:46
Ein/Ausklappen

Wer gern Naeheres ueber den "Wurm" erfahren moechte, kann z.B. eine ziemlich ausfuehrliche Beschreibung in einem Mail-Posting von Daniel Martin lesen.

[1] http://www.securityfocus.co...ike%3Flist%3D75%26mid%3D156624



Bewertung: 281 Punkte bei 102 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Beschreibung des Wurms
Xunil , Montag, 22. Januar 2001 22:33:40
Ein/Ausklappen

Sorry, habe mich oben vergessen einzuloggen: also Flame'n'Flowers an mich.



Bewertung: 259 Punkte bei 99 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Nicht Red Hat ...
Xunil , Freitag, 19. Januar 2001 00:52:20
Ein/Ausklappen

ist die Ursache fuer den Wurmbefall, wie uns der erste Satz des Artikels von Andreas suggerieren moechte, sondern die Verwendung von rpc.statd!
Der erste unten angegebene Link sagt deutlich, dass alle Systeme, die rpc.statd verwenden betroffen sind, z.B. auch Debian: *Linux* systems running the rpc.statd service! This affects noone else! Uebrigends tauchen in der Liste ueberhaupt nur 3 Linuxe auf, von denen nur Caldera (weil kein rpc.statd) nicht infiziert ist.
Die beste Loesung scheint NetBSD gelungen zu sein, welches in den Versionen 1.4/1.5 - trotz rpc.statd - ebenfalls nicht infiziert ist: all calls to syslog() within rpc.statd take a constant string for the format argument
Als Sicherheitsvorkehrung generell wird von der CERT/CC uebrigends vorgeschlagen Port 111 (portmap, rpcbind) zu schliessen. Dies schuetzt zwar nicht vor der Infektion, aber davor, dass Angreifer sie fuer sich nutzen koennen (eigentlich hat ein Portmapper auf einem Webserver auch nichts zu suchen).

[1] http://www.cert.org/advisories/CA-2000-17.html



Bewertung: 296 Punkte bei 121 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Nicht Red Hat ...
Andreas Bohle, Montag, 22. Januar 2001 09:35:14
Ein/Ausklappen

Danke für die Korrektur der unglücklichen Ausdrucksweise.

Andreas


Bewertung: 269 Punkte bei 108 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
würmer als lochstopfer
(unangemeldet), Donnerstag, 18. Januar 2001 21:44:13
Ein/Ausklappen

wenn ich den artikel so durchlese und es tatsächlich stimmen sollte, dass der wurm die sicherheitslöcher stopft bzw. behebt, wäre das doch eine interessante methode, "unfähige" admis zu umgehen und so das internet "sicherer" zu machen.
gäbe ja nicht all zu viel arbeit, bis auf das wurmzusammenstellen ;-)

klar werden jetzt manche sagen, das ist nicht mein bier, die sollen das selbermachen, aber:
why not ?


Bewertung: 269 Punkte bei 116 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: würmer als lochstopfer
Dieter Just, Donnerstag, 18. Januar 2001 21:54:48
Ein/Ausklappen

Ok, das mit dem Stopfen der Sicherheitslücken würde man bei MS als "Feature" bezeichnen und versuchen die Methode zu patentieren (natürlich würde man das ganze mit einem Supertollen Namen versehen). Es würde dann zum Standard von Windows gehören oder man macht einen Servicepack daraus.
Ich sehe aber jetzt auch die Gefahr, dass das ganze gross aufgeputscht wird, nach der Devise Linux von Wurm befallen - es ist auch nicht anders als MS.
Mir ist auch noch nicht ganz klar, ob das ein Problem im Code ist oder nur schlampige Administration. Vielleicht weiss es ja jemand in der Community.
CU D


Bewertung: 308 Punkte bei 121 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Sicherheitsluecken
(unangemeldet), Donnerstag, 18. Januar 2001 21:20:25
Ein/Ausklappen

Ich finde, dass das eine ganz neue Stufe von Wuermern ist, wenn Sie schon aktiv Sicherheitsluecken zu stopfen scheint. Kann man den Wurm schon beseitigen? Im Artikel wird nur erwaehnt, dass man die Ansteckung durch die Patches vermeiden kann.


Bewertung: 270 Punkte bei 121 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Sicherheitsluecken
Jan Schubert, Donnerstag, 18. Januar 2001 21:27:19
Ein/Ausklappen

Was meinst Du mit entfernen ? Wahrscheinlich stopft er einfach nur die Loecher, vermehrt
sich und das wars dann. In M$-Kreisen koennte man sowas als automatischen
Servicepack-VerteilerUNDInstaller bezeichnen (Ich weisz was jetzt gleich kommt: Dann
reicht aber EIN Wurm nicht).



Bewertung: 294 Punkte bei 119 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

Linux open suse 2,8
Wolfgang Gerhard Zeidler, 18.04.2017 09:17, 2 Antworten
Hallo.bitte um Hilfe bei. Code fuer den Rescue-login open suse2.8 Mfg Yvo
grep und sed , gleicher Regulärer Ausdruck , sed mit falschem Ergebnis.
Josef Federl, 15.04.2017 00:23, 1 Antworten
Daten: dlfkjgkldgjldfgl55.55klsdjfl jfjfjfj8.22fdgddfg {"id":"1","name":"Phase L1","unit":"A",...
IP Cams aufzeichnen?
Bibliothek der Technischen Hochschule Mittelhessen / Giessen, 07.04.2017 09:25, 7 Antworten
Hallo, da nun des öfteren bei uns in der Nachbarschaft eingebrochen wird, würde ich gern mein...
WLAN lässt sich nicht einrichten
Werner Hahn, 21.03.2017 14:16, 2 Antworten
Dell Latitude E6510, Ubuntu 16.4, Kabelbox von Telecolumbus. Nach Anklicken des Doppelpfeiles (o...
"Mit Gwenview importieren" funktioniert seit openSuse 42.2 nicht mehr
Wimpy *, 20.03.2017 13:34, 2 Antworten
Bisher konnte ich von Digitalkamera oder SD-Karte oder USB-Stick Fotos mit Gwenview importieren....