Devnull: Slapper-Klone infiziert Linux-Webserver
Slapper scheint in einschlägigen Kreisen die Methode der Verbreitung als Sourcecode populär gemacht zu haben: Nicht nur bislang drei Slapper-Varianten, sondern auch Devnull treffen in Quelldatei-Form ein.
Nach Angabe des AV-Herstellers Sophos setzt sich der neue Wurm aus vier Dateien zusammen. Drei davon - shell.sh, sslx.c und devnull - nutzt er zur Infektion. Beim vierten File, k, handelt es sich um einen Trojaner, der sich zu Denial-of-Service-Attacken und Datendiebstahl nutzen lässt.
Die Backdoor-Komponente basiert auf dem verbreiteten IRC-Trojaner "Age of Kaiten". Sie stellt laut Trend Micro eine Verbindung zum Channel #devnull auf dem Server irc.zyclonicz.net her. Anschließend wartet sie auf Anweisungen.
Um Angriffe von Slapper, Devnull und Konsorten ins Leere laufen zu lassen, sollten Sie auf Produktivservern grundsätzlich keine C-Compiler einrichten. Ist aus irgendeinem Grund die Installation des gcc erforderlich, beschränken Sie den Zugriff tunlichst auf ausgewählte User. Slapper und Devnull nutzen typischerweise den Benutzer nobody. (jlu)