Lupi-Würmer

Derzeit verbreiten sich zwei Würmer über Schwachstellen in verschiedenen, in Perl und PHP geschriebenen Webanwendungen.

Informationen zu diesem Wurm finden sich zum Beispiel unter:

Ausgenutzt werden offenbar die folgenden Schwachstellen:

CA gibt die AWStats-Schwachstelle als AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability <http://www.securityfocus.com/bid/10950/info> (Symantec, 2005-11-07) an, was angesichts der von SANS gezeigten URLs jedoch falsch zu sein scheint.

Mit anderen Worten: Das heute (2005-11-10) erschiene Debian-Security-Advisory DSA-892-1 <http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00289.html> hat mit diesen Würmern nichts zu tun. Wie unter CVE-2005-0116 und CVE-2005-1921 zu sehen ist, wurden die für Debian relevanten Schwachstellen glücklicherweise schon früher behoben (wenn wir mal von woody absehen, wo der Status noch ungeklärt ist).

Glücklicherweise hat der Wurm eine konzeptionelle Schwäche: Neu infizierte Rechner laden den Wurm-Code von zentralen Servern. Diese Server sind derzeit nicht erreichbar, entweder wegen Überlastung oder aufgrund gezielter Sperrung der IP-Adressen. Trotzdem empfiehlt es sich, in Flow-Logs oder ähnlichem nach Zugriffen auf die Adressen (derzeit 24.224.174.18 und 62.101.193.244) zu suchen, um halbinfizierte Systeme zu erkennen und die Schwachstelle zu stopfen.

Revisions


Florian Weimer
Home Blog (DE) Blog (EN) Impressum RSS Feeds