Neuer Linux-Wurm

Aufmacher News

Neuer Linux-Wurm

Hendrik Brandt
24.03.2001

Seit kurzem verbreitet sich der sogenannte "Lion Worm" über das Internet. Dieser nutzt die bekannten Sicherheitslöcher in BIND aus um in Linux-Systeme einzudringen. Gegen diese Löcher gibt es jedoch seit Januar einen Bugfix, das von den meisten Distributoren bereit gestellt wird. Der Wurm verursacht mehrere unschöne Dinge auf dem betroffenen System, jedoch sind von diesen nur diejenigen betroffen, die ihr System noch nicht auf den neusten Stand gebracht haben und sollten somit dies schnellstmöglich tun. Auf der SANS-Institute-Seite steht ein Skript bereit, mit dem man den Wurm finden und entfernen kann.

Ähnliche Artikel

Kommentare
telnet funktioniert auch nicht mehr.
(unangemeldet), Montag, 02. Juli 2001 14:13:30
Ein/Ausklappen

So wie ich lesen konnte zerstört das Lion Wurm den DNS Server! Bei mir hat es auch Telnet lahm gelegt. Was für Möglichkeiten habe ich um in das System wieder einzusteigen?


Bewertung: 278 Punkte bei 93 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
hab noch was vergessen
(unangemeldet), Mittwoch, 28. März 2001 19:18:28
Ein/Ausklappen

jo und zwar hat des ding sich ins eigene knie geschossen.. es hat ja bind gekillt.... und
(wies halt so bei mir is) ohne bind keine aufloesung.. ohne aufloesung.. keinen download
der trojaner =) da bin ich richtig gluecklich dass ich meinen server so schei..
konfiguriert hab


Bewertung: 294 Punkte bei 94 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: hab noch was vergessen
Gerald Klix, Mittwoch, 28. März 2001 22:05:35
Ein/Ausklappen

Da fragt man sich schon, warum das Ding, wenn schon so viel tut, nicht auch noch den bind wieder anwirft. Die jenigen, die ein paar secondary DNS haben, sind wahrscheinlich nicht so glücklich dran wie Du.


Bewertung: 284 Punkte bei 97 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
jaja.. und des bloede ding hatte es auf meinen server abgesehen.. =((
(unangemeldet), Mittwoch, 28. März 2001 19:05:21
Ein/Ausklappen

symptom: konnte keinen namen mehr aufloesen (sowas aber auch)
virus entdeckt durch: ps aux ...
ui, kein process /usr/sbin/named mehr???
hmm was ist ./pscan des als root laeuft!!?! (war noch mehrere komische processes aktiv)
hmm2 des liegt ja in /dev/.lib/ ... okay nich normal!
vor allem als da in der index.html was vin "kill all the japanese" stand,
war mir klar, dass des nich mit suse 6.3 kam...

und was macht des ding?
if-configuration, /etc/passwd und shadow an ne mailaddy @china.com schicken,
ju-hu, es fuegt aufm port 10008 in der inetd.conf /bin/sh als root zu... (also schmeisst
die host/portscanner an, kiddies...)
und noch n asp mit /bin/asp von dem der virus downgeloadet werden kann irgendwie...

tut auch noch was downloaden.... und des ausfuehren....
prima.. fuehl mich irgendwie verarscht....


hab das hier nur mal so gepostet, dass man gleich weiss, wo man suchen sollte





Bewertung: 295 Punkte bei 97 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Versionen
Jan Schubert, Samstag, 24. März 2001 14:52:24
Ein/Ausklappen

Betroffen sind übrigens nur die Versionen 8.2-8.2.2 (sollte eigentlich im Hauptartikel stehen):


It is known to infect bind version(s) 8.2, 8.2-P1, 8.2.1, 8.2.2-Px, and all
8.2.3-betas. The specific vulnerability used by the worm to exploit
machines is the TSIG vulnerability that was reported on January 29,
2001.


Und weiter:


Once Lion has compromised a system, it:

- - Sends the contents of /etc/passwd, /etc/shadow, as well as some
network settings to an address in the china.com domain.
- - Deletes /etc/hosts.deny, eliminating the host-based perimeter
protection afforded by tcp wrappers.
- - Installs backdoor root shells on ports 60008/tcp and 33567/tcp (via
inetd, see /etc/inetd.conf)
- - Installs a trojaned version of ssh that listens on 33568/tcp
- - Kills Syslogd , so the logging on the system can't be trusted
- - Installs a trojaned version of login
- - Looks for a hashed password in /etc/ttyhash
- - /usr/sbin/nscd (the optional Name Service Caching daemon) is
overwritten with a trojaned version of ssh.

The t0rn rootkit replaces several binaries on the system in order to
stealth itself. Here are the binaries that it replaces:

du, find, ifconfig, in.telnetd, in.fingerd, login, ls, mjy, netstat,
ps, pstree, top


Das Tool lionfind ist übrigens ein reines Shell-Script, welches IMHO tatsaechlich nur das macht, was es vorgibt zu tun (also kein trojanische Pferd oder so was).

[1] http://lwn.net/daily/lion-worm.php3
[2] http://www.sans.org/y2k/lionfind-0.1.tar.gz



Bewertung: 327 Punkte bei 118 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Versionskontrolle
Jan Schubert, Samstag, 24. März 2001 14:46:31
Ein/Ausklappen

Zur Überprüfung welchen named bzw. Bind-Version Ihr einsetzt, benutzt einfach folgendes Kommando:

dig @ version.bind CHAOS TXT


Bewertung: 323 Punkte bei 116 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Versionskontrolle
Jan Schubert, Samstag, 24. März 2001 15:12:59
Ein/Ausklappen

Ooops, richtig muß es natürlich heißen (Konflikt mit HTML-Schreibweise):

dig @ version.bind CHAOS TXT


Bewertung: 311 Punkte bei 113 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Versionskontrolle
Jan Schubert, Samstag, 24. März 2001 15:14:15
Ein/Ausklappen

Hilfe Tom, bitte berichtigen.... Jetzt also ganz einfach:

dig @ns version.bind CHAOS TXT

wobei ns euer Nameserver ist.


Bewertung: 302 Punkte bei 113 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Aktuelle Fragen

kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 4 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...
WLan mit altem Notebook funktioniert nicht mehr
Stefan Jahn, 22.08.2017 15:13, 0 Antworten
Ich habe ein altes Compaq-6710b Notebook mit Linux Mint Sonya bei dem WLan neulich noch funktioni...
Würde gerne openstreetmap.de im Tor-Browser benutzen, oder zu gefährlich?
Wimpy *, 21.08.2017 13:24, 2 Antworten
Im Tor-Netzwerk (Tor-Browser) kann ich https://www.openstreetmap.de/karte.html# nicht nutzen....
Samsung VG-KBD1500 - Bluetooth-Tastatur mit Touchpad mit Xubuntu 16.04.2 LTS
Linux- & BSD-UserGroup im Weserbergland, 16.08.2017 19:16, 0 Antworten
Bin grad mit "meinem Latein am Ende" darum hier mal so in den Raum geworfen. Samsung VG-KBD1500 -...