Linux-Wurm "Lupper"

[damager]

Quelle & Zitat: Pro-Linux:

Ein Wurm namens Plupii oder Lupper kann sich durch einen Fehler in PHP auf mangelhaft gewartete Linux-Server ausbreiten.

Der Wurm nutzt Fehler im XML-RPC von PHP4 und PEAR aus und betrifft damit potentiell alle in PHP geschriebenen Webanwendungen, die XML-RPC nutzen. Die Fehler sind bereits seit August bekannt und wurden sofort behoben. Die meisten Distributionen haben unmittelbar darauf Updates bereitgestellt.

Das Risiko des Wurms wird von McAfee als gering eingestuft. Ebenso schätzt Symantec die Lage ein, die Anzahl der infizierten Systeme soll unter 50 liegen. Symantec führt den Wurm unter dem Namen "Plupii". Er verrät sich u.a. durch bestimmte URLs, die er erzeugt, sowie eine Datei /tmp/lupii. Er versucht, über UDP-Port 7222 Kontakt mit dem Urheber aufzunehmen. Ferner scannt er Subnetze, um sich weiter zu verbreiten. Die gravierendste Auswirkung ist die Öffnung einer "Hintertür" auf UDP-Port 7222.

Wer seit August keine Sicherheitskorrekturen für PHP und diverse Webanwendungen eingespielt hat, sollte dies sofort nachholen.

 

[DennisM]

Naja festzuhalten ist aber, dass der Fehler schon längst behoben ist, außer wenn man seit August keine Sicherheitsupdates für PHP eingespielt hat

MFG

Dennis

 

[atomical]

Naja festzuhalten ist aber, dass der Fehler schon längst behoben ist, außer wenn man seit August keine Sicherheitsupdates für PHP eingespielt hat

... und der betroffene Rechner mehr oder minder öffentlich erreichbar ist ...

 

[damager]

und das alles dürfte nicht gerade die seltenheiten sein - da ja mitlerweile jeder (mit mehr oder weniger linux-erfahrung und knowhow) nen server mit apache+php installieren kann und dank dsl ins netz hängen.

ich finde diese entwicklung eh etwas "negativ"
die sicherheit von unix / linux steigt proportional zum admin-knowhow ... *g*

 

[DennisM]

die sicherheit von unix / linux steigt proportional zum admin-knowhow ... *g*

Jo das betrifft eigentlich jedes OS nicht nur Unix/Linux, der Admin bestimmt wie sicher sein Netzwerk bzw sein Server ist.

MFG

Dennis

 

[sono]

Wie war das ?
Die meisten Bugs sitzen ca 60 cm vorm Bildschirm , die richtig dicken meist nur 30 bis 20 .

Ihr müsstet mal die Posts zu dem Thema auf Golem lesen.
Die könnte man per Drag and Drop bei uns in den Funbereich klicken.

Mal zum Thema, der Wurm betrifft doch nebenbei nur die , die das xml Modul installiert haben , oder ? Ich vermute mal die meisten würden dass gar nicht benötigen , oder ?

Gruß Sono

 

[damager]

mehr zum thema aus der RUS-CERT meldung:

[Linux/XML-RPC+PHP] XML-RPC Schwachstelle ermöglicht Verbreitung von
Linux-Trojanern
(2005-11-07 18:12:51.237866+01)
Quelle: http://isc.sans.org/diary.php?storyid=823

Betreibern von Linux-Webservern, die [1]XML-RPC für PHP verwenden und
Webanwendungen wie bspw. [2]PostNuke, [3]Drupal, [4]b2evolution,
[5]PHPGroupWare oder [6]TikiWiki einsetzen, wird dringend empfohlen,
die verwendeten XML-RPC für PHP Pakete auf die Version 1.2.1 oder
später zu aktualisieren. Die Schwachstelle wird verstärkt von den
Trojaner-Varianten Linux.Lupper ausgenutzt. Betreiber betroffener
Systeme können mit aktuellen Virenscannern und der aktuellen
[7]chkrootkit Version ihre Systeme auf einen eventuellen Befall nach
der XML-RPC Aktualisierung überprüfen.

Aktuelle Version dieses Artikels
[8]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1279

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2005 RUS-CERT, Universität Stuttgart,
[9]http://CERT.Uni-Stuttgart.DE/

References

1. http://phpxmlrpc.sourceforge.net/
2. http://www.postnuke.com/
3. http://www.drupal.org/
4. http://b2evolution.net/
5. http://www.phpgroupware.org/
6. http://tikiwiki.org/
7. http://www.chkrootkit.org/
8. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1279
9. http://CERT.Uni-Stuttgart.DE/

 

[DennisM]

Ihr müsstet mal die Posts zu dem Thema auf Golem lesen.
Die könnte man per Drag and Drop bei uns in den Funbereich klicken.

[OT]Jo leider wird es auf golem.de auch immer schlimmer mit dem ganzen rumgetrolle, naja es bekommen halt zu viele Kiddis Zugang zum Internet [/OT]

MFG

Dennis

 

[damager]

[OT]...naja es bekommen halt zu viele Kiddis Zugang zum Internet [/OT]

FULL ACK!

 

[damager]

und die Opis fühlen sich nun in ihrer Ehre gekränkt *g*.

warum gekränkt?
ach, von den kids "lebt" dieses forum...man sieht ja gelegentlich zu was es führt (stichwort: wlan / apache / rechte). es wären nur 50% der threads wenn man bereit wäre sich eigenständig mal unix / linux grundlagen anzueignen.

überspitzt: wie kann ich von jemanden der keine console bedienen kann erwarten seinen apache "sicher" zu machen

 

[sono]

*schrei* "Wie kann ich (so schnell es geht) dies und jenes einrichten?" *

Wenn du Boss wärst und für deine Admins , Techniker usw 80 € die Stunde berechnen darfst ( jetzt mit Nebenkosten usw ), dann würdest du auch verdammt laut danach schreien, Systeme leicht und schnell bedienbar zu machen.

Sonst rechnet es sich irgendwann eine teurere aber leichter zu bedienende Software zu verwenden.

 

[damager]

Wenn du Boss wärst und für deine Admins , Techniker usw 80 € die Stunde berechnen darfst ( jetzt mit Nebenkosten usw ), dann würdest du auch verdammt laut danach schreien, Systeme leicht und schnell bedienbar zu machen.

mal ehrlich, was denkst du wieviele von denne die "schreien" hier chef's sind und irgendwelche techniker bezahlen? denke das es < 1% ist...wenn überhaupt.
wenn ich chef bin und mein techniker, für den ich 80 euro zahle, es nicht hinbekommt...dann müsst er platz machen für jemanden der es kann.

ich seh das ähnlich wie avaurus. an einer workstation kann und soll ja jeder machen was er will. fakt ist nur das es leute gibt die sich 'einbilden' server ins internet zu hängen aber die nicht betreiben können. dann werden die stimmen laut das *nix shize und unsicher ist.

 

[sono]

Stimmt auch wieder .

Aber trotzdem ist es manchmal ganz angenehm wenn man was schnell durch ein paar klicks erledigen kann und nicht drauf achten muss nen Punkt falsch zu setzen weil einem sonst bind nicht mehr startet.

Am ende ist es relativ womit man schze baut , ob console oder Gui .

Jemand der weiß wie es geht schaffts mit beidem, mit gings eigentlich nur darum was schneller geht und das ist vermutlich meistens die Gui oder ne Weboberfläche .

fakt ist nur das es leute gibt die sich 'einbilden' server ins internet zu hängen aber die nicht betreiben können. dann werden die stimmen laut das *nix shize und unsicher ist.

Na ja , das betrifft dann am ende nicht nur *nixe sondern jedes Betriebsystem.

Dann zitier ich mich mal noch selbst

Die meisten Bugs sitzen ca 60 cm vorm Bildschirm , die richtig dicken meist nur 30 bis 20 .

 

[SchwarzerLotus]

.
Natürlich kann man mit SuSE, Ubuntu oder wie sie alle heißen den Start für den Anfänger erleichtern, aber sobald dieser Anfänger dann auf einmal mehr Ansprüche hat als "ok, es ist gestartet", sitzt er in der Sahara, nämlich auf dem Trockenen.

Stimmt nicht, dann steht hier ein neuer Thread

Also ich habe ja SuSE auch eigentlich nur, weil man sehr viel ohne konsole machen kann, aber ich mache alles, was ich nur irgendwie schaffe mit! Irgendwann will ich SuSE ja vielleicht mal verlassen und sagen wir mal slackware haben, nur stehe ich dann wohl blöd da ohne Konsolenkentnisse!

Nur, denk mal realistisch: welcher Linuxeinsteiger bzw. Windowsumsteiger kennt sich mit der Konsole aus? Oder solche Begriffen wie root, yast, wine, Tux, etc...
Ich hätte damit am Anfang auch nix machen können!

 

[mo_no]

@ SchwarzerLotus
Das Phänomen tritt aber überall auf.
Immer wenn ein Mensch sich mit etwas Neuem befasst, kann er mit den Begrifflichkeiten zu nächst nichts anfangen.

@ Topic
Das schöne ist, dass der Fehler schon längst behoben wurde.
Da sollten sich andere Software Entwickler man ein Beispiel dran nehmen!
(Wir wollen ja niemanden angucken......gell Billy. )

 

[DennisM]

Das schöne ist, dass der Fehler schon längst behoben wurde.

Jop deswegen verstehe ich auch nicht warum, deswegen soviel "Trubel" gemacht wird.

MFG

Dennis

 

[damager]

Nur, denk mal realistisch: welcher Linuxeinsteiger bzw. Windowsumsteiger kennt sich mit der Konsole aus? Oder solche Begriffen wie root, yast, wine, Tux, etc...
Ich hätte damit am Anfang auch nix machen können!

hmmmm ... wenn ich von einem auto ins flugzeug steige kann ich deswegen trotzdem nicht gleich den piloten ersetzen oder?

ein linux ein-/umsteiger kann ja gerne linux als workstation benutzen aber warum muss ich mir dann gleich einbilden server-dienste anbieten zu müssen?
im eigenen lan ist das ja als lernmittel klasse um sich mit dem thema auseinander setzten zu können aber bei vielen happert es ja schon daran ein eingenes lan aufzubauen weil sie mit begriffen wie ip, netmask, defaultgateway, dns u.s.w nichts anfangen können.
und DAS ist wirklich das mindeste was ich wissen muss wenn ich server irgendeinerart "betreibe".

also, linux als desktop ersatz gerne für alle - aber alles weitere geht halt nun mal als newbie nicht und das sage ich nicht aus böswilligkeit oder so.
hab hier schon oft von "problemen" gelesen von wegen: "ich muss einen webserver+ssl+php aufsetzten und betreiben ...hab aber keine ahnung von linux....bitte um lösung". wo will man da aufsetzten?

...und die die es evtl out-of-the-box hinbekommen begreiffen nicht warum

 

[SchwarzerLotus]

ein linux ein-/umsteiger kann ja gerne linux als workstation benutzen aber warum muss ich mir dann gleich einbilden server-dienste anbieten zu müssen?
im eigenen lan ist das ja als lernmittel klasse um sich mit dem thema auseinander setzten zu können aber bei vielen happert es ja schon daran ein eingenes lan aufzubauen weil sie mit begriffen wie ip, netmask, defaultgateway, dns u.s.w nichts anfangen können.
und DAS ist wirklich das mindeste was ich wissen muss wenn ich server irgendeinerart "betreibe".

Ja das stimmt.. aber dieserjemand wird wohl auch in anderen Betriebssystemen keinen server betreiben können

 

[damager]

Ja das stimmt.. aber dieserjemand wird wohl auch in anderen Betriebssystemen keinen server betreiben können

auch war, aber welches os bietet so eine fülle von servern wie linux?
egal ob:
ftp
http
mail
samba
nfs
router
firewall
proxy
irc
u.v.m....
da ist der reiz natürlich groß ...aber auch die "gefahr".

 

[sono]

auch war, aber welches os bietet so eine fülle von servern wie linux?
egal ob:
ftp
http
mail
samba
nfs
router
firewall
proxy
irc
u.v.m....

Würde sagen kaum welche , auser jetzt vielleicht

: Windows , die BSD Reihe , Solaris , Apple , und die komerziellen Unixe ???

Alles was du aufgezählt hast gibt es für andere OS auch , nur sind teils die Preise unterschiedlich, dafür aber auch die Anforderungen.