Devnull: Slapper-Klone infiziert Linux-Webserver

Wie sein Vorgänger Slapper nutzt der Devnull-Wurm eine Schwachstelle im mod_SSL-Modul von Apache zur Ausbreitung. Nach Angabe des Antiviren-Herstellers Kaspersky wurden seit Freitag schon mehr als 1600 Systeme von dem neuen Schädling befallen.

Slapper scheint in einschlägigen Kreisen die Methode der Verbreitung als Sourcecode populär gemacht zu haben: Nicht nur bislang drei Slapper-Varianten, sondern auch Devnull treffen in Quelldatei-Form ein.

Nach Angabe des AV-Herstellers Sophos setzt sich der neue Wurm aus vier Dateien zusammen. Drei davon - shell.sh, sslx.c und devnull - nutzt er zur Infektion. Beim vierten File, k, handelt es sich um einen Trojaner, der sich zu Denial-of-Service-Attacken und Datendiebstahl nutzen lässt.

Die Backdoor-Komponente basiert auf dem verbreiteten IRC-Trojaner "Age of Kaiten". Sie stellt laut Trend Micro eine Verbindung zum Channel #devnull auf dem Server irc.zyclonicz.net her. Anschließend wartet sie auf Anweisungen.

Um Angriffe von Slapper, Devnull und Konsorten ins Leere laufen zu lassen, sollten Sie auf Produktivservern grundsätzlich keine C-Compiler einrichten. Ist aus irgendeinem Grund die Installation des gcc erforderlich, beschränken Sie den Zugriff tunlichst auf ausgewählte User. Slapper und Devnull nutzen typischerweise den Benutzer nobody. (jlu)