Internet-Wurm attackiert Linux-Server

Auch Linux-Boxen sind nicht per se vor Viren und Internet-Würmern gefeit. Dass selbst Script Kiddies unzulänglich gepflegten Unix-Maschinen auf den Pelz rücken können, demonstriert gerade auf dramatische Weise der Ramen-Worm. Er befällt Systeme mit Red Hat 6.2 und Version 7 und verbreitet sich via Internet rasant weiter.

Der Wurm Ramen nutzt schon seit einem halben Jahr bekannte Verwundbarkeiten in den Daemons rpc.statd, wu-ftpd und LPRng, um sich auf Rechnern festzusetzen und sich von dort aus weiter zu verbreiten. Die momentan kursierende Variante attackiert lediglich Red-Hat-Maschinen, die zugrundeliegenden Bugs allerdings betreffen zahlreiche Distributionen. Für die Sicherheitslücken liegen eigentlich auch schon seit längerem Patches vor, so dass nur unzulänglich gepflegte Maschinen von Ramen befallen werden können.

Hat sich der Wurm erst einmal auf einem Rechner eingenistet, richtet er zunächst auf Port 27374 einen rudimentären HTTP/0.9-Server ein, um sich später weiter kopieren zu können. Anschließend sucht er über einen Synscan auf Port 21 (FTP) im Netz nach weiteren Opfern, auf die er sich dupliziert. Danach entfernt er kulanterweise auf dem Angriffsrechner die verwundbaren statd- (RH 6.2) beziehungsweise lpr-Daemons (RH 7). Ringinfektionen wie beim berüchtigten Morris-Wurm von 1988 sind also ausgeschlossen. Zu guter Letzt überschreibt Ramen alle erreichbaren index.html-Files mit dem Text "Hackers looooooooooooove noodles - RameN Crew".

Wie Analysen zeigen, handelt es sich bei Ramen um keinen Wurm "aus einem Guss": Er erweist sich als zum Teil recht schludrig zusammengestellte Sammlung von Exploits, die schon seit längerem im Web kursieren. Dies legt die Vermutung nahe, dass Ramen nicht von einem routinierten Cracker, sondern viel wahrscheinlicher von einem "Script Kiddie" zusammengepatcht wurde. In ähnliche Richtung weist der Gebrauch von Port 27374, dessen Nutzung bei jedem routinierten Sysadmin die Alarmglocken schrillen lässt: Auf diesem Port operieren unter Windows der Trojaner Sub7 und dessen Derivate.

Der Vorfall zeigt, dass weniger das verwendete Betriebssystem Rechner gegenüber Angriffen verwundbar macht: In den meisten Fällen öffnen mangelnde Systempflege und schludrige Administration dem Angreifer Port und Platte - ob unter Windows oder Linux. Wer via Internet erreichbare Maschinen betreibt, tut gut daran, sich ständig über einschlägige Security-Mailinglisten auf dem Laufenden zu halten und Sicherheitslöcher sofort zu stopfen. Als exzellente Informationsquelle empfiehlt sich etwa der Bugtraq von Security Focus. (jlu)