Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Subject: ++ Host Europe ++ Slapper - Wurm attackiert Apache Web-Server mit SSL ++

ACHTUNG: Slapper - Wurm attackiert Apache Web-Server mit SSL

Sehr geehrte Kundin, sehr geehrter Kunde,

seit vergangenem Freitag bedroht der Wurm "Slapper" Apache Web-Server mit SSL. Der Wurm befaellt

Intel-basierte Maschinen mit Linux-Distributionen von Red Hat, Suse, Mandrake, Slackware oder Debian.

Damit der Wurm sein Unwesen treiben kann, muss mod_ssl im Apache aktiviert sein (welches auf das

OpenSSL-Paket zurueckgreift). Betroffen sind alle Server mit OpenSSL in der Version Version 0.96d oder

aelter. Ebenfalls betroffen ist OpenSSL pre-release Version 0.9.7-beta2, fuer welches ein sichereres

Upgrade 0.9.7-beta3 existiert:

http://www.openssl.org/news/patch_20020730_0_9_7.txt

Nach Angaben von F-Secure hat der Wurm innerhalb der ersten 40 Stunden seiner Verbreitung mehr als

6000 Server infiziert.

Der Wurm besitzt eine ausserordentliche aussergewoehnliche Peer-to-Peer-Faehigkeit, was dem

Angreifer eine gemeinschaftliche Nutzung der befallenen Server ermoeglicht.

F-Secure vermutet, dass ein geballter Distributed Denial-of-Service-Angriff (DDoS) gestartet werden soll.

Host Europe empfiehlt Ihnen, Ihren Server umgehend auf vorhandene Sicherheitsloecher zu pruefen. Sind

o.a. unsichere Versionen auf Ihrem System installiert, so empfehlen wir Ihnen dringend auf die sichere

OpenSSL Versionen 0.9.6g umzusteigen. Sollte dies nicht moeglich sein, so stellt die Version 0.9.6e

eine Alternative dar.

Weitere Informationen zum Thema "Slapper" haben wir im Netz unter folgenden URLs fuer Sie ermittelt:

http://www.f-secure.com/slapper

http://www.cert.org/advisories/CA-2002-27.html

Beachten Sie bitte, dass in aelteren Apache Versionen (<= 1.3.23) weitere Schwachstellen vorhanden

sein koennen:

http://www.cert.org/advisories/CA-2002-17.html

Wir empfehlen Version 1.3.26.

Weitere Informationen zu Thema:

Wie funktioniert der Wurm?

Ausgenutzt wird ein Buffer Overflow im SSLv2 Handshake Ablauf im OpenSSL Modul (mod_ssl) fuer

Apache Web-Server, der u.a. im Advisory CA-2002-23 vom CERT/CC beschrieben worden ist.

Vorgehensweise des Wurms:

- zuerst erfolgt ein Scan auf Port tcp/80 mittels eines ungueltigen

HTTP Requests: "GET /mod_ssl:error:HTTP-request HTTP/1.0"

- Wird ein Apache Server erkannt, sendet der Wurm Exploit-Code an

Port tcp/443, um die Schwachstelle im mod_ssl auszunutzen.

- Nach einem erfolgreichen Angriff wird ein Programm zum

kompromittierten Rechner kopiert, als /tmp/.bugtraq.c abgelegt und

danach mit gcc uebersetzt (/tmp/.bugtraq).

- Danach beginnt das kompromittierte System nach weiteren

verletzlichen Systemen zu scannen und kann ueber Kommandos an Port

2002/udp fuer verteilte Denial of Service Angriffe misbraucht werden.

Wie erkenne ich, ob mein Server infiziert wurde?

a) Wurde Ihr System kompromittiert, so sind folgende Files vorhanden:

/tmp/.bugtraq.c

/tmp/.bugtraq

Bitte beachten Sie, dass die File - Bezeichung in abgeleiteten Wurmprogrammen veraendert werden

koennen.

B) ueberpruefen Sie Ihre Logfiles auf Anfragen zum Zielport tcp/80 und Verbindungen zum Zielport tcp/443.

c) sind die Ports 2002/udp bzw. UDP Datagramme mit Ziel und Quellport 2002/udp geoeffnet?

d) Hinweise auf einen Angriffsversuch bietet die Zeichenkette

GET /mod_ssl:error:HTTP-request HTTP/1.0

in den Apache Logs und weiterhin Log-Zeilen:

[error] SSL handshake failed: HTTP spoken on HTTPS port; trying

to send HTML error page (OpenSSL library error follows)

[error] OpenSSL: error:1407609C:SSL

routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking

HTTP to HTTPS port!?]

Allerdings laesst sich aus den Log-Zeilen nicht entnehmen, ob der Angriff erfolgreich gewesen ist.

Host Europe GmbH

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...