Warnung vor Linux-Wurm "Lupper"
Ein Wurm namens Plupii oder Lupper kann sich durch einen Fehler in PHP auf mangelhaft gewartete Linux-Server ausbreiten.
Der Wurm nutzt Fehler im XML-RPC von PHP4 und PEAR aus und betrifft damit potentiell alle in PHP geschriebenen Webanwendungen, die XML-RPC nutzen. Die Fehler sind bereits seit August bekannt und wurden sofort behoben. Die meisten Distributionen haben unmittelbar darauf Updates bereitgestellt.
Das Risiko des Wurms wird von McAfee als gering eingestuft. Ebenso schätzt Symantec die Lage ein, die Anzahl der infizierten Systeme soll unter 50 liegen. Symantec führt den Wurm unter dem Namen "Plupii". Er verrät sich u.a. durch bestimmte URLs, die er erzeugt, sowie eine Datei /tmp/lupii. Er versucht, über UDP-Port 7222 Kontakt mit dem Urheber aufzunehmen. Ferner scannt er Subnetze, um sich weiter zu verbreiten. Die gravierendste Auswirkung ist die Öffnung einer "Hintertür" auf UDP-Port 7222.
Wer seit August keine Sicherheitskorrekturen für PHP und diverse Webanwendungen eingespielt hat, sollte dies sofort nachholen.
Lupper ist nicht der erste Wurm, der spezifisch Linux-Systeme befällt und wird wohl auch nicht der letzte bleiben. Im Jahr 2002 verbreitete sich der Wurm "Slapper" über eine Sicherheitslücke im Apache-Webserver. Auch in diesem Fall war die Lücke längst behoben und nur durch nachlässige Systemverwalter konnte sich der Wurm überhaupt ausbreiten. Damals waren um die 10000 Rechner weltweit betroffen.
