symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Internet Wurm wirbt für Nudeln!
Veröffentlicht durch maol am Donnerstag 18. Januar, 11:06
Aus der RH-kriecht Abteilung
Security scip writes "Laut The Register ist ein neuer Internet Wurm aufgetaucht, der RedHat 6.2 und 7.0 Systeme infizieren kann."
AFAIK der erfolgreichste Linux-Wurm soweit. Wird RH MS-ähnlich?

"Ramen, so der Name des Wurms, sucht automatisch nach Redhat Systemen, greift sie mittels Remote Exploits auf wu-ftp, LPRng sowie rpc.statd an und installiert sich anschliessend auf diesen Systemen um sich von dort aus weiter zu verbreiten.

Zu guter Letzt tauscht es auf jedem infizierten Webserver die Hauptseite mit dem Text "Hackers looooooooooooove noodles" aus :-)
Mehr über Ramen."

Bundesrat kümmert sich um Internet | Schon wieder LUGS-Bild auf linux.com  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Linux
  • Red Hat
  • Mehr über Ramen
  • scip
  • The Register
  • Mehr zu Security
  • Auch von maol
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Gute Sache der Virus... (Score:1, Interessant)
    Von Witchblade (mcblast@datenauflauf.de) am Thursday 18. January, 11:41 MET (#1)
    (User #340 Info) http://www.datenauflauf.de
    Ich finde das dieser Virus gut ist. Denn auch der ILOVEYOU Wurm hat Leute aufgeweckt, mehr an der Sicherheit Ihrer Systeme zu ändern. (oder generell Sicherheit erstmal zu gewährleisten). Kurzum solche relativ harmlosen Würmer sind OK, denn der Nutzen ist Imens.

    gruesse Witchi
    Sind das Nazis Dude ?

    Yellow-Press-Niveau (Score:2, Interessant)
    Von tbf am Thursday 18. January, 12:10 MET (#2)
    (User #21 Info)
    Die besten Zeiten sind wohl vorüber, bei The Register: Oder wo ist z.B. der Link auf Redhat's "Security Advisories" (hier für RH7, dort für RH6). Oops. Würde ja verraten, daß die Sicherheitslöcher schon lange gefixt sind.

    IHMO sind also nur lausige Administratoren, die Ihr System nicht gegen Sicherheitslöcher patchen und viel schlimmer: Webserver mit derart vollständiger Connectivität ans Netz hängen, betroffen...

    Wenn jetzt wenigsten der jetzt der letzte Wannabe-Admin geweckt worden wäre. Nur sind die für solche Hinweise ja nicht empfänglich und hätte auch keine Ahnung wie's zu beheben wäre. Auf der Jagd nach Hits hat The Register einfach mal so unnötig schlecht Presse produziert. Und viel schlimmer: Symlink sich auch noch drangehängt. Yellow-Press-Niveau.

    PS: maol, wo siehst Du den Bezug zu Microsoft?

    Re:Yellow-Press-Niveau (Score:1)
    Von maol (maol at symlink.ch) am Thursday 18. January, 12:28 MET (#3)
    (User #1 Info) http://www.maol.yi.org/
    thx für die Links, war selbst zu faul...

    wo siehst Du den Bezug zu Microsoft?
    Bei den Würmern, die es bis jetzt eigentlich nur für MS OS gab - in diesem Ausmass. Wobei: wie gross ist das Ausmass des Ramen überhaupt, wieviel davon ist nur Hype?

    maol
    --
    schneelos, glücklos, das grosse Los

    Re:Yellow-Press-Niveau (Score:2, Informativ)
    Von yasa am Thursday 18. January, 14:33 MET (#6)
    (User #254 Info)
    Bei den Würmern, die es bis jetzt eigentlich nur für MS OS gab - in diesem Ausmass.

    Schon 1988 sorgte der unter BSD Unix kriechende Morris Worm für grossen Schäden im damaligen Internet (5-10% aller Rechner waren betroffen, Überlastung der Netzwerke).

    Ein interessantes Buch aus der damaligen Internetzeit ist Clifford Stoll's "Cuckoo's Egg".

    - Yasa
    Re:Yellow-Press-Niveau (Score:1)
    Von maol (maol at symlink.ch) am Thursday 18. January, 16:00 MET (#7)
    (User #1 Info) http://www.maol.yi.org/
    Morris Worm
    Ich hatte diesen Wurm schon im Bewusstsein, wusste aber zuwenig dazu, um etwas zitieren zu können. Und meine Lektüre von Kuckucksnest liegt wohl auch schon wieder 10 Jahre zurück - auf jedenfall hatte ich damals noch nie einen Computer von nah gesehen ;-)

    Ich glaube man darf schon sagen, dass das damalige BSD auch das beherrschende Betriebssystem im Internet war, was von der Situation her vergleichbar ist.
    Wobei ich damit nichts über die Attitude der BSD Leute von damals aussagen will (im Gegensatz zu RH und MS), da ich dazu nichts weiss.

    maol
    --
    schneelos, glücklos, das grosse Los

    Re:Yellow-Press-Niveau (Score:1)
    Von maNic am Thursday 18. January, 14:01 MET (#4)
    (User #341 Info)
    Ich wurde zwar nicht gefragt, aber ich gebe trotzdem gerne Antwort: Der Bezug zu Microsoft ist ganz einfach:

    Monokultur !

    Je mehr Leute das genau gleiche einsetzen, desto reizvoller ist es, einen Virus/Wurm/Trojaner dafür zu entwickeln. Deshalb kann es nie 'out of the box' sichere Systeme geben...


    RedHat Network kostenpflichtig - Designfehler! (Score:3, Tiefsinnig)
    Von StupidDog (stupiddog@spamcop.net) am Thursday 18. January, 14:22 MET (#5)
    (User #332 Info)
    Es ist ein Designfehler, Betriebssysteme und Anwendungsprogramme heute immer noch nicht mit einer Funktion auszustatten, sich auf Wunsch des Anwenders selbst zu aktualisieren. Die technischen Möglichkeiten sind definitiv da, die Gefahr des Troianer-Einschleusens ist seit der Möglichkeit, RPM- und andere Archive digital zu signieren, nicht mehr von Bedeutung.

    Ich habe ein Perl Script geschrieben, dass jede Nacht die FTP Server meines Distributors nach Updates absucht und eine Mail an die Technik schickt, sofern neue Updates vorliegen (schicke ich auf Anfrage auch gern anderen zu). Windows hat mit Windows Update einen Anfang gemacht - wenn auch mit Fehlern (ich traue dem ActiveX Control, dass die Updates ermittelt, immer noch nicht).

    Sicherheitslücken hat es lange Zeit gegeben und wird es immer geben, es sei denn, jeder Programmierer studiert Informatik durch und wendet das Konzept der Programmverifikation konsequent an; das ist aber unrealistisch, weil zu aufwendig.

    Das monatelange Vorhandensein von Sicherheitslücken in Serversystemen ist aber vermeidbar, deshalb habe ich überhaupt kein Verständnis dafür, dass RedHat, SuSE et. al. nicht entsprechende und vor allem kostenlose Werkzeuge standardmäßig installieren und den Anwender mit dem Zaunwink darauf aufmerksam machen.

    Betriebssysteme sollen den Betrieb des Computers sicherstellen. Es ist nicht ihr Sinn und Zweck, Administratoren mit Trivialaufgaben unnötig zu belasten.
    Wurde soeben angegriffen (Score:1)
    Von Seegras am Friday 19. January, 19:17 MET (#8)
    (User #30 Info) http://www.discordia.ch
    Ja! Jemand, oder vermutlich eher Etwas hat
    versucht meinen rpc.statd via buffer-overflow zu
    killen. Pech nur dass das keine Redhat ist, noch
    der Intel-Assembler des Exploits auf meiner Sun
    läuft ;)

    For your enjoyment: auszug aus dem syslog:

    Jan 19 12:20:48 josephine /sbin/rpc.statd[119]: gethostbyname error for ^X<F7>
    <FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y< F7><FF><BF>^Z<F7><FF><BF>^Z<F7><FF><BF> ^[
    <F7><FF><BF>^[<F7><FF><BF>%8x%8x%8x%8x%8x%8x%8x%8x%8x% 236x%n%137x%n%10x%n%192x%n
    \220
    [tonnen von denen gestrippt]
    \220
    Jan 19 12:20:49 josephine <C7>^F/bin<C7>F^D/shA0<C0>\210F^G\211v^L\215V^P\215N^L
    \211<F3><B0>^K<CD>\200<B0>^A<CD>\200<E8>\177<FF> <FF><FF>

    Re:Wurde soeben angegriffen (Score:1)
    Von lqd am Monday 22. January, 11:24 MET (#9)
    (User #339 Info)
    Pech nur dass das keine Redhat ist, [...]

    der exploit war nicht RedHat spezifisch sondern hat einen Bug in alten Versionen des rpc.statd ausgenutzt. Lief auch bei allen anderen Distributionen mit alten rpc.statd Binaries hervorragend.

    Die einzige Besonderheit war, daß der Wurm sich nur auf RedHat-Systemen verbreitet hat.


    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen