computerwoche.de

Archiv

Lion klaut Passwörter und installiert Trojaner

Gefährlicher Wurm bedroht Linux

30.03.2001
MÜNCHEN (CW) - Ein Virus mit bis dato nicht da gewesenem zerstörerischem Potenzial bedroht Linux-Server. Der als Wurm bezeichnete Schädling mit dem Namen "Lion" dringt in Internet-Server mit der DNS-Software "Bind" ein, späht User-Informationen aus und zerstört Daten.

Schon vor einigen Wochen sorgte Bind, die Server-Software für das Domain Name System (DNS), wegen einiger massiver Sicherheitslücken für Schlagzeilen. Der nun bekannt gewordene Lion-Wurm, der sich selbsttätig über das Internet verbreitet, befällt offenbar ausschließlich Linux-Maschinen mit Bind. Auf infizierten Servern scannt der Wurm Verbindungen über den TCP-Port 53, um neue Opfer auszuspähen. Findet er ein verwundbares System, stiehlt er dort die Dateien mit den User-Namen und Passwörtern für alle Accounts und sendet sie zusammen mit den Konfigurationsdaten an eine anonyme Adresse unter China.com.

Zusätzlich schreibt er einige Programme so um, dass sie danach als Hintertüren für spätere Einbrüche fungieren. Neben der Analyse von Netzfunktionen verwischt er seine Spuren, indem er ein "Root-Kit" installiert, das die Präsenz von Hacker-Tools verschleiert.

Nach Angaben von Greg Shipley, einem Direktor des Chicagoer Sicherheits-Consulting-Unternehmens Neohapsis, übertrifft der Wurm alle bisher bekannten Schädlinge: "Er verwandelt ein System in Schweizer Käse. Nichts von dem, was Lion macht, ist für sich genommen neu. Ich habe aber noch nie gesehen, dass all diese Funktionen in einem Paket vereint wurden."

Der Wurm wurde von Forschern des Sans-Instituts entdeckt, einer Forschungseinrichtung in Bethesda, USA. Allem Anschein nach ist er eine Weiterentwicklung des im Januar entdeckten "Ramen"-Wurms, der ausschließlich Red-Hat-Linux-Systeme befallen hatte. Bisher wurden Schäden in fünf Unternehmen und einer Universität bestätigt. Betroffen sind nach dem aktuellen Kenntnisstand Linux-Systeme mit den Bind-Versionen von 8.2 bis 8.2.3. Es wird jedoch damit gerechnet, dass auch Unix-Systeme infiziert werden können.

Schwierig gestaltet sich das Entfernen des schadhaften Codes sowie die Beseitigung der Schäden. Denn auch wenn ein Administrator auf eine neue, resistente Version von Bind aufrüstet und die Hintertüren schließt, können Hacker, die an die Passwörter gelangt sind, später noch in ein solches System eindringen. Verheerend wären deshalb die Auswirkungen bei großen Internet-Service-Providern (ISP), die Tausende von Accounts hosten.

Sans hat ein Programm namens "Lionfind" entwickelt, das eine Infektion entdecken soll. Das Tool ist unter www.sans.org erhältlich.