Software::Web
Wurmbefall bei Linux-Webservern
Ein »Wurm« namens Linux.Slapper verbreitet sich zur Zeit auf Linux-Webservern, indem er eine alte Sicherheitlücke in OpenSSL ausnutzt.
Besagte Sicherheitslücke ist seit rund 6 Wochen bekannt und für alle relevanten Systeme stehen Patches zur Verfügung. Alle Systemverwalter hatten also reichlich Zeit für einen Update. Doch scheint es noch eine große Zahl von Servern zu geben, die den Patch ignoriert haben.
Der Wurm, ein Stück Code, das sich bösartig verhält und sich auf weitere Systeme auszubreiten versucht, soll nach Angaben von CNET bereits 3500 Server weltweit befallen haben. Er benötigt einen Server mit Apache unter Linux, auf dem SSL aktiviert ist.
Eine Analyse des Wurms zeigte, daß das Funktionsprinzip ähnlich ist wie das von Code Red, der im Juli 2001 über 350.000 Microsoft-Systeme infizierte. Auf infizierten Systemen versucht der Wurm, ein C-Programm zu compilieren, was scheitern muß, wenn kein Compiler installiert ist.
Der Wurm enthält eine eingebaute Funktion, um mit einer Art Peer-to-Peer-Netzwerk verteilte Denial-of-Service (DDOS)-Angriffe auf andere Rechner zu unternehmen. Dies soll bereits genutzt worden sein, um die DNS-Server eines großen Providers zeitweise lahmzulegen. Für diese Funktion wird UDP-Port 2002 geöffnet, was man leicht überprüfen kann. Auch sonst macht der Wurm keine Anstalten, sich zu verstecken und kann auch leicht wieder entfernt werden.