Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-303

[Generic/BIND] Wurm nutzt alte Schwachstellen in BIND
(2001-03-24 14:08:11+00)

Quelle: http://www.sans.org/y2k/lion.htm

Ein Wurm namens Lion nutzt BIND 8 Schwachstellen zur Verbreitung aus.

Betroffene Systeme
Alle BIND-8-Versionen vor 8.2.3 und 8.2.3-betas.

Typ der Verwundbarkeit
buffer overflow (exploitable remotely)

Beschreibung
Hat der Wurm "Lion" ein System befallen so beginnt er einen Scan (TCP Port 53) eines zufälligen Class B Netzes nach Systemen mit einem BIND 8 DNS-Server. Bringt dieser Scan weitere verwundbare Systeme zu Tage so wird die bereits im Januar 2001 beschriebene BIND 8 Schwachstelle ausgenutzt und der Wurm überträgt sich auf diese Systeme weiter.

Der Wurm liest die Passwortdateien (/etc/passwd und /etc/shadow) aus und übermittelt deren Inhalt an eine china.com Adresse. Es wird die /etc/hosts.deny gelöscht (um beispielsweise den TCP Wrapper zu schwächen) und auf den TCP Ports 60008 sowie 33567 eine Rootshell (über /etc/inetd.conf) als Hintertür eingerichtet. Eine trojanisierte SSH Version wird auf TCP Port 33568 installiert und der Syslogd beendet.
Ferner installiert dieser Wurm den "T0rn" Rootkit, welcher zahlreiche Binaries ersetzt (um unentdeckt zu bleiben), darunter:
du
find
ifconfig
in.telnetd
in.fingerd
login
ls
mjy
netstat
ps
pstree
top

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen
Wie bereits Ende Januar 2001 empfohlen, sollten BIND Versionen vor 8.2.3 aktualisiert werden.

Zur Überprüfung ob ein Befall durch den "Lion" Wurm vorliegt, stellt das SANS Institute ein Tool namens Lionfind zur Verfügung. Dieses Tool ist lediglich in der Lage einen Befall festzustellen, nicht jedoch den Wurm zu beseitigen.
Sollte ein System durch den Wurm befallen sein, hilft wohl nur das Einspielen eines Backups (bzw. die Neuinstallation).

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=303