McAfee und Symantec haben bekannt gegeben, dass ein modifizierter
Linux/Slapper-Virus namens Plupii ältere Systeme angreifen kann.
Der Wurm nutzt einen längst behobenen Fehler in XML-RPC von
PHP4. Somit kann er jede Anwendung, die in PHP geschrieben ist, angreifen.
Allerdings stufen die Antivirenhersteller die Ausbreitung und den Schaden als
gering bis mittel ein. Die Distributoren bieten für diesen Missstand schon
lange Updates an.
Der Virus öffnet eine Backdoor auf dem kompromittierten
Rechner, der einem Angreifer unautorisierten Zugriff auf das System gibt.
Administratoren sollen nachsehen, ob sich im Verzeichnis /tmp eine Datei lupii
befindet. Da der Wurm auf den Ports UDP 7111 und UDP 7222 horcht, sollten
Systemverwalter auf vermehrten Traffic auf diesen Ports achten. Sieht man sich
die Warnmeldungen der Antivirenhersteller genauer an, versucht der Wurm auch,
das Webseiten-Analyse-Tool awstats anzugreifen.
Hier finden Sie die Warnhinweise von McAfee
und Symantec. Dort können Sie auch Listen einsehen,
welche Unterverzeichnisse der jeweiligen Webseite der Virus zu attackieren
versucht. Wie Sie Linux-Systeme optimal auf Viren untersuchen, lesen Sie im
aktuellen tecCHANNEL-Compact „IT-(Un)Sicherheit“, das Sie hier online
bestellen können.