You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-314

[GNU/Linux] Wurm "Adore" nutzt bekannte Schwachstellen aus
(2001-04-04 17:50:36+00) Druckversion

Quelle: http://www.sans.org/y2k/adore.htm

Ein neuer Wurm namens Adore nutzt altbekannte Schwachstellen in LPRng, rpc-statd, wu-ftpd und BIND zur Verbreitung.

Betroffene Systeme
Linux auf x86-Systemen mit installierten und aktivierten verwundbaren Diensten:

  • LPRng Versionen kleiner 3.6.25
  • rpc-statd (nfs-common Versionen kleiner 0.1.9.1-1)
  • wu-ftpd incl. Version 2.6.0
  • BIND Versionen vor 8.2.3 und 8.2.3-betas

Beschreibung
Ein neuer Wurm namens Adore verbreitet sich ähnlich dem bereits bekannten Wurm Lion, in dem er unter Ausnutzung bekannter Schwachstellen Rechnersysteme kompromittiert. Hat der Wurm ein System befallen, beginnt er einen Scan nach weiteren Systemen mit LPRng-, rpc-statd-, wu-ftpd- oder BIND-Schwachstellen. Fördert dieser Scan weitere verwundbare Systeme zu Tage, so werden die oben genannten, seit geraumer Zeit wohlbekannten Schwachstellen zur Kompromittierung ausgenutzt und der Wurm überträgt sich so auf diese Systeme weiter.

Der Wurm selbst ersetzt offenbar nur das Systemprogramm ps, das zur Auflistung auf dem System laufender Prozesse dient, wobei die ursprüngliche Version von ps nach /usr/bin/adore verschoben wird. Danach liest der Wurm die folgenden Dateien aus:

  • /etc/ftpusers
  • ifconfig
  • ps -aux (die ursprüngliche Version von /usr/bin/adore)
  • /root/.bash_history
  • /etc/hosts
  • /etc/shadow
Die Inhalte dieser Dateien werden an folgende E-Mail-Adressen versandt:
  • adore9000@21cn.com
  • adore9000@sina.com
  • adore9001@21cn.com
  • adore9001@sina.com

Ferner installiert der Wurm eine Hintertür in das System, indem ein Package namens icmp gestartet wird. Dieses legt einen Port und die erforderliche Paketgröße für die Verbindung fest und öffnet gegebenenfalls eine Rootshell, die offenbar interaktive Verbindungen zuläßt. Zusätzlich wird ein cronjob hinzugefügt, der täglich um 04:02 Uhr Spuren den Wurms beseitigt (nicht jedoch den Wurm selbst) und das System rebootet.

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufungdes Gefahrenpotentials.)

Gegenmaßnahmen
Installieren Sie die Patches, die zu den einzelnen von Adore ausgenutzten Schwachstellen zur Verfügung stehen.

Weitere Information zur LPRng Schwachstelle

Weitere Information zur rpc.statd Schwachstelle

Weitere Information zur wu-ftpd Schwachstelle

Weitere Information zur BIND Schwachstelle

Weitere Information zu Adore

In vorgenanntem Advisory stellt das SANS Institute ein Tool namens Adorefind zur Verfügung, das laut SANS dazu verwendet werden kann, zu überprüfen, ob ein Befall durch den Adore Wurm vorliegt
Installation und Betrieb dieses Tools erfolgt auf eigene Gefahr.
Das RUS-CERT hat diese Software nicht untersucht und kann daher keine Aussage über dessen Qualität sowie eventuell aus dessen Installation und/oder Benutzung entstehender Gefährdungen machen.

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.