Warnung vor dem Löwen
Ein neuer Internet-Wurm namens "Lion" hat einige Linux-Systeme infiziert.
Lion ist dem "Ramen"-Wurm recht ähnlich. Lion verbreitet sich selbst, indem es eine Sicherheitslücke in dem DNS-Server BIND ausnutzt. Diese ist jedoch bereits seit zwei Monaten bekannt. Somit sind nur Systeme gefährdet, die BIND verwenden, also sind Systeme von Heim-Benutzern in der Regel nicht betroffen. Administratoren, die ihr System rechtzeitig aktualisiert und die Sicherheitslücke beseitigt haben, sind ebenfalls auf der sicheren Seite. Doch gibt es offenbar immer noch einige miserabel gewartete Systeme im Netz.
Betroffen sind alle Linux-Systeme, die BIND 8.2, 8.2.2 oder Betas von 8.2.3 verwenden. In Version 8.2.3 ist das Problem behoben.
Hat der Lion-Wurm Zugang zum System gefunden, installiert er ein Rootkit namens "T0rn". Dieses ersetzt einige Systemprogramme durch modifizierte Versionen, unter anderem, um Spuren zu verwischen und Backdoors zu installieren. Ferner sendet er die Dateien /etc/passwd und /etc/shadow an eine Adresse in der china.com-Domain.
Die Gefahr, die von Lion ausgeht, läßt sich begrenzen, indem man BIND unter einem eigenen Benutzeraccount in einer chroot-Umgebung ausführt. Diese Vorgehensweise ist sehr zu empfehlen, da BIND eine lange Historie von Sicherheitslücken hat. In einer chroot-Umgebung kann Lion weder auf die Paßwort-Dateien zugreifen noch Systemprogramme ersetzen. Wir werden in Kürze eine Anleitung für dieses Vorgehen veröffentlichen.
Diese Warnung ist noch vorläufiger Natur. Es könnte sich z.B. herausstellen, daß Lion noch andere Wege zur Infektion eines Systems benutzt. Gegen vernünftig gewartete Syteme hat Lion jedoch keine Chance.
