Hallo Leute,

ich habe gerade vom N24 (Ja, der Nachrichtensender) Newsticker erfahren, das eine
neue Version vom "Lovesain" bzw. "Blaster" - Wurm im Umlauf ist, der auch Linux-Systeme befallen soll. Obwohl der N24-Ticker Wahrscheinlich nicht die Kompententeste Informationsquelle ist, bin ich etwas Verunsichert.
Ohnne Panikmache zu Betreiben, hab' ich gleich mal ein Paar Fragen :

1. Wie Verbreitet sich der Wurm eigentlich ?? Muss mann auf irgendwelche "verseuchten" Webpages gehen, oder Verschickt der Wurm einfach Wahlllos Kopien von sich über's Netz (wobei ich dann sehr Merkwürdig finde, dass das Teil den Wirt-Rechner nach 60 sec. Herunterfährt. So bleibt ja nicht viel Zeit zum Verbreiten, ausser man hat ne' Flatrate....) ?????

2. Wie Wahrscheinlich ist ein Wurm-Befall auf meiner Linux-Kiste. Hatt der Wurm Überhaupt Chancen, grösseren Schaden Anzurichten, wenn ich nur als Unprevilegierter "normalo-User" eingeloggt bin ?????

3. Wass kann der Wurm im Schlimmsten Fall (also ohne Root-Rechte) mit dem User-Account anfangen, der ihn sich eingefangen hat ?

4. Über welche Port's Verbreitet sich der Wurm, und wie sperre ich die am besten ???

Ihr merkt schon, Ich bin nicht gerade der Linux-Sicherheitsexperte. Aber das schöne an Linux ist (war ??) ja, das man sich um Vieren und Trojaner nicht so viele Gedanken machen muss, wie unter MS-Systemen.
Wäre echt toll, wenn mir jemand meine Fragen Beantworten könnte...

Neugierige Grüsse
DanDanger

Hmm,

das BSI (Bundesamt für Sicherheitstechnik und Informationstechnik) hat ne' eigene Lovesan-HP eingerichtet, erreichbar unter :
http://www.bsi.de/av/vb/blaster.htm
Dort ist ziemlich geanu beschrieben, was das Teil macht (damit Erledigt sich zumindest meine 1. Frage).

Allerdings: Wenn ich mir so die Security-News in den Bekannten Linux-Magazinen (z.B. Linux-Magazin, Linux-Enterprise, Linux-User, etc.) anschaue, gibt's auch unter Linux genug Angriffspunkte für Exploits, etc.

Ich hoffe mal, dass wir Linuxer Weiterhin vor einer Linux-Vieren-Flut verschont bleiben.......

Original geschrieben von DanDanger

Ohnne Panikmache zu Betreiben, hab' ich gleich mal ein Paar Fragen :


Klingt in Anbetracht des exzessiven Plenken und Prellens nicht
sehr glaubwuerdig. Meinst Du nicht, dass ein Fragezeichen direkt
hinter der Frage reichen wuerde? <- So? Alles andere laesst naemlich
auf extreme Hektik beim Schreiben des Beitrages schliessen.

Danke,

'cuda

Die meinen wohl das:

http://www.heise.de/newsticker/data/dab-13.08.03-002/

Ich hab' mir das mal angeschaut, ist offenbar auch unter Linux ein kommerzielles Produkt. Der Fehler liegt hier also nicht am OS Linux, sondern in der Software. Ich tippe mal darauf, dass M$ versuchen wird, auch Linux in den Dreck zu ziehen

Original geschrieben von DanDanger

1. Wie Verbreitet sich der Wurm eigentlich ?? Muss mann auf irgendwelche "verseuchten" Webpages gehen, oder Verschickt der Wurm einfach Wahlllos Kopien von sich über's Netz

Er verschickt sich selbst TFTP. Dabei macht er sich einen Fehler in der RPC-Implementierung von Windows NT/2000/XP zu nutzen. Man muss keine Web-Seite besuchen. Auch verbreitet er sich nicht per Mail. Win98/ME sind nicht betroffen.
Genaueres findest Du auf jeder Seite eines AntiViren-Program herstellers.


Original geschrieben von DanDanger
(wobei ich dann sehr Merkwürdig finde, dass das Teil den Wirt-Rechner nach 60 sec. Herunterfährt. So bleibt ja nicht viel Zeit zum Verbreiten,...

Das Herunterfahren ist nicht vom Wurm beabsichtigt, sondern ergibt sich aus einer schlampigen Programierung des Wurms.


Original geschrieben von DanDanger
ausser man hat ne' Flatrate....) ?????

Eine Flatrate ist ein Tarif. Du meinst eine Standleitung. Aber auch die hilft natürlich nix. Wenn ein Rechner heruntergefahren ist, kann er auch kein Wurm verbreiten, egal ob ISDN, DSL, LAN, FKK, CDU; LMAA oder LSD :D


Original geschrieben von DanDanger
2. Wie Wahrscheinlich ist ein Wurm-Befall auf meiner Linux-Kiste.

Die Wahrscheinlichkeit lässt sich exakt beziffern: 0. Der Wurm kann Linux nicht befallen. Einzig wenn Du das kommerzielle Produkt DCE/DFS der Firma Entegrity benutzen solltest, ist es möglich, diesen Dienst mit dem Wurm zum Absturz zu bringen. Infiziert würde Dein Rechner aber dennoch nicht.


Original geschrieben von DanDanger
Hatt der Wurm Überhaupt Chancen, grösseren Schaden Anzurichten, wenn ich nur als Unprevilegierter "normalo-User" eingeloggt bin ?????

Natürlich nicht. Aber die Frage ist natürlich berechtigt für ein schönes "wäre/wenn": Gäbe es ein Virus, dass tatsächlich für Linux geschrieben wäre, so käme genau hier das User-Prinzip bei Linux zu tragen. Das Virus könnte den Recher mit den Rechten übernehmen, mit denen der Dienst ausgeführt wird, den er angreift. Da die meisten Dienste aber sauber konfiguriert sind, sind das seltenst root-Rechte. Dennoch würde ich nicht ganz Entwarnung geben, existierte doch bis Kernel 2.4.19 (glaub' ich) ein Bug, der es erlaubte einen direkt an der Konsole eingeloggten user root-Rechte zu erlangen. Inwieweit ein Virus den Bug ausnutzen könnte, ist mir aber nicht bekannt. (wie hieß denn der Exploit doch gleich nochmal?)


Original geschrieben von DanDanger
3. Wass kann der Wurm im Schlimmsten Fall (also ohne Root-Rechte) mit dem User-Account anfangen, der ihn sich eingefangen hat ?

Er kann immer das, was dem entsprechenden User erlaubt ist.



Original geschrieben von DanDanger
4. Über welche Port's Verbreitet sich der Wurm, und wie sperre ich die am besten ???

http://www.heise.de/newsticker/data/dab-12.08.03-000/
http://www.heise.de/newsticker/data/dab-12.08.03-001/

Original geschrieben von Doh!
Er verschickt sich selbst TFTP. Dabei macht er sich einen Fehler in der RPC-Implementierung von Windows NT/2000/XP zu nutzen. Man muss keine Web-Seite besuchen. Auch verbreitet er sich nicht per Mail. Win98/ME sind nicht betroffen.
Genaueres findest Du auf jeder Seite eines AntiViren-Program herstellers.



Das Herunterfahren ist nicht vom Wurm beabsichtigt, sondern ergibt sich aus einer schlampigen Programierung des Wurms.



Eine Flatrate ist ein Tarif. Du meinst eine Standleitung. Aber auch die hilft natürlich nix. Wenn ein Rechner heruntergefahren ist, kann er auch kein Wurm verbreiten, egal ob ISDN, DSL, LAN, FKK, CDU; LMAA oder LSD :D



Die Wahrscheinlichkeit lässt sich exakt beziffern: 0. Der Wurm kann Linux nicht befallen. Einzig wenn Du das kommerzielle Produkt DCE/DFS der Firma Entegrity benutzen solltest, ist es möglich, diesen Dienst mit dem Wurm zum Absturz zu bringen. Infiziert würde Dein Rechner aber dennoch nicht.



Natürlich nicht. Aber die Frage ist natürlich berechtigt für ein schönes "wäre/wenn": Gäbe es ein Virus, dass tatsächlich für Linux geschrieben wäre, so käme genau hier das User-Prinzip bei Linux zu tragen. Das Virus könnte den Recher mit den Rechten übernehmen, mit denen der Dienst ausgeführt wird, den er angreift. Da die meisten Dienste aber sauber konfiguriert sind, sind das seltenst root-Rechte. Dennoch würde ich nicht ganz Entwarnung geben, existierte doch bis Kernel 2.4.19 (glaub' ich) ein Bug, der es erlaubte einen direkt an der Konsole eingeloggten user root-Rechte zu erlangen. Inwieweit ein Virus den Bug ausnutzen könnte, ist mir aber nicht bekannt. (wie hieß denn der Exploit doch gleich nochmal?)



Er kann immer das, was dem entsprechenden User erlaubt ist.




http://www.heise.de/newsticker/data/dab-12.08.03-000/
http://www.heise.de/newsticker/data/dab-12.08.03-001/

Du meinst den "ptrace" Bug.
Alles andere ist kompetent und richtig erklärt, da kann man nichts mehr hinzufügen.

lg
Steve