wird diese Nachricht hier berücksichtigt. Die Meldung auf Heise.de von heute ist der gleiche Wurm? Die reden da vom Backdoor:
=== Schnipp ====
Linux-Backdoor verbreitet sich über XML-RPC-Lücke
Administratoren von Linux-Systemen sollten die XML-RPC-Versionen, die in Content-Management-Systemen (CMS), Forensoftware, Blogs oder Wikis zum Einsatz kommen, überprüfen und gegebenfalls aktualisieren. Zur Zeit sind vermehrte Aktivitäten auf dem UDP-Port 7111 zu verzeichnen, auf dem eine Backdoor namens Backdoor.Linux.Small.al lauscht. Diese verbreitet sich seit kurzem über die länger bekannte XML-RPC für PHP 1.X-Lücke auf Linux-Systemen. Anzeige
Weitere Varianten des Schädlings greifen auch die Web-Statistiksoftware awstats an, die ebenfalls Mitte August durch eine Sicherheitslücke auffiel. Nach der Softwareaktualisierung sollten Administratoren die Systeme beispielsweise mit chkrootkit auf Schädlingsbefall überprüfen, der Einsatz eines Virenscanners mit aktualisierten Signaturen ist ebenfalls sinnvoll.
Wenn man bedenkt wieviele Linux-systeme mit PHP als Webserver benutzt werden, dann ist es eigentlich eine sehr gute Werbung für Linux, wenn trotz eines aktuellen Wurms das Internet nicht halb so schnell ist, und die Schadensmeldungen nicht in die Millionen $ gehen.
Ausserdem denke ich, ist es ein gutes Zeichen wenn die Wurmschreiber hin und wieder was für Linux machen, das lässt auf eine relativ hohe Verbreitung von Linux im Webserverbereich schliessen. Abgesehen davon erinnert es die Webadmins daran, dass das Updaten von Webserver-Betriebssystemen eine gute Sache ist - für JEDES Betriebssystem. Der beste Sicherheitspatch hilft nichts, wenn er nicht verwendet wird.
> Er verrät sich u.a. durch bestimmte URLs, die er erzeugt, sowie eine Datei /tmp/lupii. ... damit ist der Wurm anfällig auf eine Symlink-Attacke. Und man sollte meinen, Wurmentwickler wüßten es einfach besser. Hat eigentlich schon mal Jemand einen Wurm gecrackt? ;)
hat schon jemand den code analysiert? werden requests an den geöffneten port durch den paketfilter im kernel verhindert oder kann der wurm das umgehen?
da kann man garnicht mehr Richtig klugscheissen ...
Eher würde da wohl stehen "Pakete"....
du meintest bestimmt
Eher würde da wohl "Pakete" stehen.....
oder nix gut deutsch? Ich wusste gar nicht das hier das Rechtschreibforum ist....
:)
Meine Anspielung auf die "neue" Rechtschreibung hat wohl keiner verstanden ?
Na, wie schreib man es Richtig ? :-)
Ach, Vergiss es .....
Die reden da vom Backdoor:
=== Schnipp ====
Linux-Backdoor verbreitet sich über XML-RPC-Lücke
Administratoren von Linux-Systemen sollten die XML-RPC-Versionen, die in Content-Management-Systemen (CMS), Forensoftware, Blogs oder Wikis zum Einsatz kommen, überprüfen und gegebenfalls aktualisieren. Zur Zeit sind vermehrte Aktivitäten auf dem UDP-Port 7111 zu verzeichnen, auf dem eine Backdoor namens Backdoor.Linux.Small.al lauscht. Diese verbreitet sich seit kurzem über die länger bekannte XML-RPC für PHP 1.X-Lücke auf Linux-Systemen.
Anzeige
Weitere Varianten des Schädlings greifen auch die Web-Statistiksoftware awstats an, die ebenfalls Mitte August durch eine Sicherheitslücke auffiel. Nach der Softwareaktualisierung sollten Administratoren die Systeme beispielsweise mit chkrootkit auf Schädlingsbefall überprüfen, der Einsatz eines Virenscanners mit aktualisierten Signaturen ist ebenfalls sinnvoll.
=== Schnapp ===
Ausserdem denke ich, ist es ein gutes Zeichen wenn die Wurmschreiber hin und wieder was für Linux machen, das lässt auf eine relativ hohe Verbreitung von Linux im Webserverbereich schliessen. Abgesehen davon erinnert es die Webadmins daran, dass das Updaten von Webserver-Betriebssystemen eine gute Sache ist - für JEDES Betriebssystem. Der beste Sicherheitspatch hilft nichts, wenn er nicht verwendet wird.
Und wer eval() verwendet gehört eh geschlagen...
... damit ist der Wurm anfällig auf eine Symlink-Attacke. Und man sollte meinen, Wurmentwickler wüßten es einfach besser.
Hat eigentlich schon mal Jemand einen Wurm gecrackt? ;)
lg
Erik
werden requests an den geöffneten port durch den paketfilter im kernel verhindert oder kann der wurm das umgehen?
gruß, name