Wurm nimmt Linux-Webserver aufs Korn
8. November 2005
Antivirus-Spezialisten warnen vor einem neuen Wurm, der für seine Verbreitung Sicherheitslücken in Linux-basierten Webservern nutzt. McAfee nennt den Schädling "Lupper", während er bei Symantec "Plupii" heisst. Beide Hersteller sehen allerdings nur ein moderates Risiko; der Wurm hat sich bisher nicht stark verbreitet.
Der Wurm attackiert blind beliebige Webserver und sucht dabei nach drei Sicherheitslücken bei XML-RPC, im Rawlog-Plugin von AWStats und bei Webhints. Erweist sich der Server als verwundbar, installiert der Wurm eine Backdoor auf dem UDP-Port 7222, worauf das System sich in ein Netzwerk befallener Server einreiht, das sich für Angriffe auf weitere Systeme nutzen lässt - der Wurm schickt dazu über den gleichen UDP-Port eine Nachricht an eine vom Angreifer spezifizierte IP-Adresse.
XML-RPC wird von zahlreichen Content-Management-Systemen genutzt; für die schon früher enteckte Remote-Code-Injection-Lücke gibt es seit längerem einen Patch, ebenso für die AWStats-Lücke. Für das Webhints-Script existiert laut Symantec bis dato dagegen kein Fix. (IW)
Der Wurm attackiert blind beliebige Webserver und sucht dabei nach drei Sicherheitslücken bei XML-RPC, im Rawlog-Plugin von AWStats und bei Webhints. Erweist sich der Server als verwundbar, installiert der Wurm eine Backdoor auf dem UDP-Port 7222, worauf das System sich in ein Netzwerk befallener Server einreiht, das sich für Angriffe auf weitere Systeme nutzen lässt - der Wurm schickt dazu über den gleichen UDP-Port eine Nachricht an eine vom Angreifer spezifizierte IP-Adresse.
XML-RPC wird von zahlreichen Content-Management-Systemen genutzt; für die schon früher enteckte Remote-Code-Injection-Lücke gibt es seit längerem einen Patch, ebenso für die AWStats-Lücke. Für das Webhints-Script existiert laut Symantec bis dato dagegen kein Fix. (IW)
Artikel kommentieren
