Slapper: Source-Wurm infiziert tausende Linux-Webserver

Slapper nutzt einen Buffer Overflow im mod_ssl-Modul von Apache-Servern, um eine Backdoor auf dem befallenen System zu installieren. Der seit Freitag nacht grassierende Wurm hat bereits Tausende von Linux-Maschinen infiziert.

Dabei nutzt der Schädling erstmals eine bislang nur theoretisch bekannte Verbreitungsmöglichkeit: Er transportiert sich als C-Quellcode und kompiliert sich erst auf dem befallenen System mit Hilfe des lokalen gcc-Compilers. Dadurch erzielt Slapper eine hohe "Kompatibilität" und befällt praktisch jede Distributionsvariante.

Der Wurm stellt zunächst eine Verbindung zu Port 80 (HTTP) des Zielsystems her und versucht über einen ungültigen GET-Request die installierte Linux- und Apache-Version zu bestimmen. Falls dies fehlschlägt, nimmt er einen Apache 1.3.23 auf Red Hat Linux 7 als Installationsbasis an. Anschließend nutzt er über Port 443 (SSL) einen Buffer Overflow Exploit in der Handshake-Prozedur von mod_ssl, um eine Shell (/bin/sh) aufzurufen. In dieser kompiliert er mittels des lokal installierten gcc seinen Sourcecode (/tmp/.bugtraq.c), den er zuvor in UU-kodierter Form (/tmp/.uubugtraq) übertragen hat.

Das Slapper-Binary (/tmp/.bugtraq) wird unter der User-ID des Webservers (typischerweise "apache") mit der IP-Adresse der Angreifer-Maschine als Parameter gestartet. Auf diese Weise bilden die befallenen Systeme ein Peer-to-Peer-Netz, das sich zu DDoS-Angriffen nutzen lässt. Befehle können dabei über eine Backdoor eingespeist werden, die auf dem TCP-Port 2002 auf eine Verbindungsaufnahme wartet. Zu den eingebauten Fähigkeiten von Slapper zählen Flooding-Attacken mit TCP-, TCP/IPv6- und UDP-Paketen sowie DNS-Queries. Daneben kann der Wurm auf externe Anforderung das infizierte System auch nach E-Mail-Adressen absuchen. Diese schickt er dann via UPD-Port 10100 an das aufrufende System zurück.

Um eine Infektion zu vermeiden, sollte auf allen anfälligen Systemen die Aufnahme von HTTPS-Connections unterbunden oder zumindest das anfällige SSLv2-Protokoll ausgeschaltet werden. Gegen die derzeitig grassierende Slapper-Variante hilft auch die Deinstallation des vom Wurm benötigten Compilers; künftige Wurm-Versionen könnten allerdings auch als Binaries ankommen. Auf bereits befallenen Servern gilt es den laufenden Prozess des Wurms mit killall -9 .bugtraq aus dem Speicher zu entfernen und die Slapper-Dateien aus dem /tmp-Verzeichnis zu löschen

Nach Ansicht von Eugene Kaspersky, Forschungschef beim Antiviren-Hersteller Kaspersky Labs, dürften in nächster Zeit zahlreiche Varianten und Clones von Slapper zu erwarten sein. "Um eine eigene Modifikation zu verbreiten, muss man nur den Quellcode verändern, der ja im Internet quasi frei verfügbar ist. Zudem könnte Slapper der Ausgangspunkt einer neuen Welle von Multiplattform-Schädlingen werden, die gleichermaßen Linux, Windows, Unix und andere Betriebssysteme befallen", warnt Kaspersky. "Schließlich finden sich auf jedem gängigen OS sowohl Sicherheitslücken als Infektionsquelle als auch Compiler, um den Wurm lauffähig zu machen." (jlu)