Linux-Wurm Lupper mutiert
Seit Ende vergangener Woche gibt es ein paar nette Varianten des Linux-Wurms Lupper im Internet.
Jeder Antivirenhersteller tauft sie auf andere Namen: Plupii.C, Lupper.worm.b, Lupper-I oder auch Mare.d.
Die neuen Varianten unterscheiden sich in erster Linie durch die Benennung der nachgeladenen Schadprogramme sowie des installierten Trojaner-Typs.
Die erste Lupper-Generation nutzte die längst behobene XMLRPC-Lücke beispielsweise in Wordpress, TikiWiki, phpGroupware und Drupal sowie Schwachstellen in AWStats und Webhint aus. Die neuen Lupper-Varianten versuchen nun zusätzlich über eine Lücke im freien Content-Management-System Mambo in die Webserver einzudringen um dann weitere Schadprogramme zu starten, darunter auch dieser erwähnte Trojaner. Der verbindet sich mit einem IRC-Server und wartet auf weitere Befehle, beispielsweise für Denial-Of-Service-Angriffe gegen andere Rechner. Befallene Rechner werden dadurch Teil eines Bot-Netzes.
Betroffene Linux-Server sind in der Regel an verdächtigen, ausführbaren Dateien im /tmp-Verzeichnis und gleichnamigen laufenden Prozessen erkennbar. Mögliche Namen u. a. gicumz, httpd, https, cb und ping.txt. Ebenfalls auffällig sind ein offener UDP-Port 27015 sowie ausgehende IRC-Verbindungen nach Port 6667, die sich mit dem Befehl "netstat -an --inet" auflisten lassen. Eine bei heise vorliegende Lupper-Variante ist darüber hinaus mit dem Virus RST.b infiziert. Dieser verhindert unter Umständen eine ordnungsgemäße Ausführung des Wurms unter aktuellen Linux-Kerneln der Serie 2.6.
Wer noch immer so eine extrem verwundbare Mambo-Installation betreibt, sollte somit umgehend eine aktuelle Version installieren und seinen Server auf mögliche Einbruchspuren untersuchen. Zumindest die nachgeladenen IRC-Trojaner werden in der Regel von allen gängigen Antivirenprogrammen erkannt.
Quelle: http://www.heise.de