Wurm befällt Apache-Server unter FreeBSD

Ein neuer Wurm macht sich eine seit einiger Zeit bekannte Lücken in Apache-Webservern zu Nutze. Durch einen Stapelüberlauf kann "Scalper" ins System gelangen, und andere Webserver infizieren, DoS-Attacken vorbereiten oder Massen-E-Mails schicken.

Die Virenforscher von Symantec weisen allerdings darauf hin, dass "FreeBSD.Scalper.Worm", so der volle Name, bisher nicht `in freier Wildbahn' aufgetreten sei. Außerdem scheint der Wurm auf Rechner mit dem Betriebssystem FreeBSD beschränkt. Dennoch ist sein Ansatz technisch interessant.

Der Wurm nistet sich auf befallenen Systemen als normaler Thread ein, und versucht dann über normale HTTP-Anfragen über den Port 80 andere Apache-Server zu finden. Dort bricht er über die bereits bekannte Lücke eines Stapel-Überlaufs ein und führt lokale Befehle aus. Auf diese Weise wird ein neuer Rechner infiziert.

Der Schädling öffnet auf den wurmstichigen Systemen den Port 2001 und wartet auf Befehle. Seine Funktionen umfassen unter anderem den massenhaften Mail-Versand (spamming), aber auch Dauer-Anfragen per TCP, UDP und nach DNS-Diensten, was den Wurm für DoS-Attacken prädestiniert. Daneben sammelt er Mail-Adressen.

Gegen Scalper hilft zum einen der Patch gegen den Überlauffehler, zum anderen lässt sich die Wurm-Datei "/tmp/.a" von Hand löschen.

Über die Konfiguration eines Apache-Webservers informiert dieser Report. Weitere Themen und Tests rund um Linux und Unix finden Sie hier und im neuen Kompendium tecCHANNEL-Compact. (nie)