feuerwand
07.10.02, 14:08
devnull: Slapper-Klone infiziert Linux-Webserver
10:46:30
(tecCHANNEL.de, 07.10.2002) Wie sein Vorgänger Slapper nutzt der Devnull-Wurm eine Schwachstelle im mod_SSL-Modul von Apache zur Ausbreitung. Nach Angabe des Antiviren-Herstellers Kaspersky wurden seit Freitag schon mehr als 1600 Systeme von dem neuen Schädling befallen.
externer LinkSlapper scheint in einschlägigen Kreisen die Methode der Verbreitung als Sourcecode populär gemacht zu haben: Nicht nur bislang drei Slapper-Varianten, sondern auch Devnull treffen in Quelldatei-Form ein.
Click here to find out more!
Nach Angabe des AV-Herstellers externer LinkSophos setzt sich der neue Wurm aus vier Dateien zusammen. Drei davon - shell.sh, sslx.c und devnull - nutzt er zur Infektion. Beim vierten File, k, handelt es sich um einen InfoTrojaner, der sich zu Denial-of-Service-Attacken und Datendiebstahl nutzen lässt.
Die Backdoor-Komponente basiert auf dem verbreiteten InfoIRC-Trojaner "Age of Kaiten". Sie stellt laut externer LinkTrend Micro eine Verbindung zum Channel #devnull auf dem Server irc.zyclonicz.net her. Anschließend wartet sie auf Anweisungen.
Um Angriffe von Slapper, Devnull und Konsorten ins Leere laufen zu lassen, sollten Sie auf Produktivservern grundsätzlich keine C-Compiler einrichten. Ist aus irgendeinem Grund die Installation des gcc erforderlich, beschränken Sie den Zugriff tunlichst auf ausgewählte User. Slapper und Devnull nutzen typischerweise den Benutzer nobody. (jlu)
quelle: http://www.tecchannel.de/news/20021007/thema20021007-8863.html
10:46:30
(tecCHANNEL.de, 07.10.2002) Wie sein Vorgänger Slapper nutzt der Devnull-Wurm eine Schwachstelle im mod_SSL-Modul von Apache zur Ausbreitung. Nach Angabe des Antiviren-Herstellers Kaspersky wurden seit Freitag schon mehr als 1600 Systeme von dem neuen Schädling befallen.
externer LinkSlapper scheint in einschlägigen Kreisen die Methode der Verbreitung als Sourcecode populär gemacht zu haben: Nicht nur bislang drei Slapper-Varianten, sondern auch Devnull treffen in Quelldatei-Form ein.
Click here to find out more!
Nach Angabe des AV-Herstellers externer LinkSophos setzt sich der neue Wurm aus vier Dateien zusammen. Drei davon - shell.sh, sslx.c und devnull - nutzt er zur Infektion. Beim vierten File, k, handelt es sich um einen InfoTrojaner, der sich zu Denial-of-Service-Attacken und Datendiebstahl nutzen lässt.
Die Backdoor-Komponente basiert auf dem verbreiteten InfoIRC-Trojaner "Age of Kaiten". Sie stellt laut externer LinkTrend Micro eine Verbindung zum Channel #devnull auf dem Server irc.zyclonicz.net her. Anschließend wartet sie auf Anweisungen.
Um Angriffe von Slapper, Devnull und Konsorten ins Leere laufen zu lassen, sollten Sie auf Produktivservern grundsätzlich keine C-Compiler einrichten. Ist aus irgendeinem Grund die Installation des gcc erforderlich, beschränken Sie den Zugriff tunlichst auf ausgewählte User. Slapper und Devnull nutzen typischerweise den Benutzer nobody. (jlu)
quelle: http://www.tecchannel.de/news/20021007/thema20021007-8863.html