unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Linux-Wurm Lupper mutiert » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Linux-Wurm Lupper mutiert
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.949

Level: 53 [?]
Erfahrungspunkte: 17.899.523
Nächster Level: 19.059.430

1.159.907 Erfahrungspunkt(e) für den nächsten Levelanstieg

Linux-Wurm Lupper mutiert Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Seit Ende vergangener Woche kursieren neue Varianten des Linux-Wurms Lupper im Internet. Im Bezeichnungswirrwarr der Antivirenhersteller tauchen sie unter diversen Namen auf: Plupii.C, Lupper.worm.b, Lupper-I oder auch Mare.d. Die neuen Varianten unterscheiden sich in erster Linie durch die Benennung der nachgeladenen Schadprogramme sowie des installierten Trojaner-Typs.

Die erste Lupper-Generation nutzte die längst behobene XMLRPC-Lücke beispielsweise in Wordpress, TikiWiki, phpGroupware und Drupal sowie Schwachstellen in AWStats und Webhint aus. Die neuen Lupper-Varianten versuchen zusätzlich, über eine Lücke im freien Content-Management-System Mambo in Webserver einzudringen. Einmal dort zur Ausführung gelangt, beginnen sie mit dem Nachladen und Starten von weiteren Schadprogrammen, darunter auch der erwähnte Trojaner. Dieser verbindet sich mit einem IRC-Server und wartet dort auf weitere Befehle, beispielsweise für Denial-Of-Service-Angriffe gegen andere Rechner. Befallene Rechner werden dadurch Teil eines Bot-Netzes.

Betroffene Linux-Server sind in der Regel an verdächtigen, ausführbaren Dateien im /tmp-Verzeichnis und gleichnamigen laufenden Prozessen erkennbar. Mögliche Namen sind unter anderem gicumz, httpd, https, cb und ping.txt. Ebenfalls auffällig sind ein offener UDP-Port 27015 sowie ausgehende IRC-Verbindungen nach Port 6667, die sich mit dem Befehl "netstat -an --inet" auflisten lassen. Die der Redaktion vorliegende Lupper-Variante ist darüber hinaus mit dem Virus RST.b infiziert. Dieser verhindert unter Umständen eine ordnungsgemäße Ausführung des Wurms unter aktuellen Linux-Kerneln der Serie 2.6.

Wer noch immer eine verwundbare Mambo-Installation betreibt, sollte umgehend eine aktuelle Version installieren und seinen Server auf mögliche Einbruchspuren untersuchen. Zumindest die nachgeladenen IRC-Trojaner werden in der Regel von allen gängigen Antivirenprogrammen erkannt.

QUELLE


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
20.02.2006 18:52 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

MobyDuck
Lebende Foren Legende


images/avatars/avatar-215.jpg

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 50 [?]
Erfahrungspunkte: 10.225.753
Nächster Level: 11.777.899

1.552.146 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Weitere Einzelheiten gibt es hier:
Ubuntublog >>>

und da:
Ubuntublog - Ergänzung >>>

Der Wurm basiert auf "Kaiten" ist also Malware's Rache an schlampige Admins.

OT
Gibt's nicht auch in einem anderen Forum PHP-Probleme?
21.02.2006 12:21 MobyDuck ist offline Beiträge von MobyDuck suchen Nehmen Sie MobyDuck in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Linux-Wurm Lupper mutiert

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2021 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;