Seit kurzem verbreitet sich der sogenannte “Lion Worm” über das Internet. Dieser nutzt die bekannten Sicherheitslöcher in BIND aus um in Linux-Systeme einzudringen. Gegen diese Löcher gibt es jedoch seit Januar einen Bugfix, das von den meisten Distributoren bereit gestellt wird. Der Wurm verursacht mehrere unschöne Dinge auf dem betroffenen System, jedoch sind von diesen nur diejenigen betroffen, die ihr System noch nicht auf den neusten Stand gebracht haben und sollten somit dies schnellstmöglich tun. Auf der SANS-Institute-Seite steht ein Skript bereit, mit dem man den Wurm finden und entfernen kann.
[1] http://lwn.net/daily/lion-worm.php3
[2] http://www.sans.org
[3] http://www.sans.org/y2k/lionfind-0.1.tar.gz
[4] http://www.redhat.com/support/errata/RHSA-2001-007.html
[5] http://www.debian.org/security/2001/dsa-026
[6] http://www.suse.com/de/support/security/2001_003_bind8_txt.txt
[7] http://www.caldera.com/support/security/advisories/CSSA-2001-008.0.txt
[8] http://www.caldera.com/support/security/advisories/CSSA-2001-008.1.txt
Zur Überprüfung welchen named bzw. Bind-Version Ihr einsetzt, benutzt einfach folgendes Kommando:
dig @ version.bind CHAOS TXT
Ooops, richtig muß es natürlich heißen (Konflikt mit HTML-Schreibweise):
dig @ version.bind CHAOS TXT
Hilfe Tom, bitte berichtigen…. Jetzt also ganz einfach:
dig @ns version.bind CHAOS TXT
wobei ns euer Nameserver ist.
Betroffen sind übrigens nur die Versionen 8.2-8.2.2 (sollte eigentlich im Hauptartikel stehen): It is known to infect bind version(s) 8.2, 8.2-P1, 8.2.1, 8.2.2-Px, and all 8.2.3-betas. The specific vulnerability used by the worm to exploit machines is the TSIG vulnerability that was reported on January 29, 2001. Und weiter: Once Lion has compromised a system, it: – – Sends the contents of /etc/passwd, /etc/shadow, as well as some network settings to an address in the china.com domain. – – Deletes /etc/hosts.deny, eliminating the host-based perimeter protection afforded by tcp wrappers. – – Installs backdoor root shells on ports 60008/tcp and… Mehr »
symptom: konnte keinen namen mehr aufloesen (sowas aber auch) virus entdeckt durch: ps aux … ui, kein process /usr/sbin/named mehr??? hmm was ist ./pscan des als root laeuft!!?! (war noch mehrere komische processes aktiv) hmm2 des liegt ja in /dev/.lib/ … okay nich normal! vor allem als da in der index.html was vin “kill all the japanese” stand, war mir klar, dass des nich mit suse 6.3 kam… und was macht des ding? if-configuration, /etc/passwd und shadow an ne mailaddy @china.com schicken, ju-hu, es fuegt aufm port 10008 in der inetd.conf /bin/sh als root zu… (also schmeisst die host/portscanner an,… Mehr »
jo und zwar hat des ding sich ins eigene knie geschossen.. es hat ja bind gekillt…. und
(wies halt so bei mir is) ohne bind keine aufloesung.. ohne aufloesung.. keinen download
der trojaner =) da bin ich richtig gluecklich dass ich meinen server so schei..
konfiguriert hab
Da fragt man sich schon, warum das Ding, wenn schon so viel tut, nicht auch noch den bind wieder anwirft. Die jenigen, die ein paar secondary DNS haben, sind wahrscheinlich nicht so glücklich dran wie Du.
So wie ich lesen konnte zerstört das Lion Wurm den DNS Server! Bei mir hat es auch Telnet lahm gelegt. Was für Möglichkeiten habe ich um in das System wieder einzusteigen?