Hardware::Systeme
Internet-Wurm befällt Red Hat-Systeme
Ein sogenannter Wurm, der Ramen genannt wird, hat sich in den letzten Tagen im Internet ausgebreitet.
Möglicherweise hat er sich in Hunderten von Systemen eingenistet.
Der Wurm ist ein Programm, das aus bereits vorher bekannten Komponenten zusammengesetzt wurde. Es nutzt drei bekannte Sicherheitslücken aus, um Root-Rechte auf dem jeweiligen Rechner zu bekommen. Das eine ist eine Sicherheitslücke in wu-ftpd, für die bereits seit fast 7 Monaten ein Update bereitsteht, das damit Schluß macht. Das zweite ist eine Lücke in rpc.statd, für das ebenfalls seit einem halben Jahr ein Update bereitsteht. In den allermeisten Fällen wird rpc.statd ohnehin nicht benötigt, so daß eine einfache Deinstallation die beste Maßnahme ist. Das dritte ist LPRng, für das seit Oktober ein Update bereitsteht. Ohnehin sollte auf einem Internet-Rechner kein Druckspooler installiert sein.
Bedingt durch seine Konstruktion kann der Wurm sich nur auf Red Hat-Systemen ausbreiten, die eine der genannten Sicherheitslücken aufweisen. Die Tatsache, daß nach einem halben Jahr auf zahlreichen Systemen nicht die erforderlichen Updates eingespielt waren, wirft kein gutes Licht auf die jeweiligen Systemverwalter. Man muß aber auch Red Hat fragen, warum die drei Programme Bestandteil der Standardinstallation sind und aus welchem Grund ein bekanntermaßen unsicheres (wu-ftpd) und ein weitgehend nutzloses Programm (statd) installiert werden.
Der Wurm richtet keinen nennenswerten Schaden an, doch ersetzt er eine eventuell vorhandene WWW-Startseite durch eine Seite, auf der eine Fertig-Nudelsuppe namens "Ramen" zu sehen ist, und den Text "Hackers loooooooooove noodles". Ferner ersetzt er einige Systemprogramme durch Rootkit-Versionen. Dies hat den Zweck, den Einbruch zu vertuschen. Dann führt er einen Portscan im Internet durch, um weitere unsichere Rechner zu finden, auf die er sich ausbreiten kann. Dieser Scan ist sehr schnell und verbraucht einen Großteil der zur Verfügung stehenden Bandbreite. Die Funktionsweise des Wurms ist der des Morris-Wurms von 1988 recht ähnlich.
