Thema der Woche

18. September 2000

Automatisierte Massenhacks im Internet

Das CERT Coordination Center warnt in seiner externer Link Incident Note vom 15. September vor einer Welle von Attacken gegen Unix/Linux-Hosts. Vermutlich nutzen die Angreifer automatisierte Verfahren, um im großen Stil nach Rechnern zu fahnden, bei denen insbesondere zwei im Juli und August bekannt gewordene Schwachstellen noch nicht beseitigt wurden. Die meisten aufgefallenen Systeme arbeiten mit Red-Hat-Linux, es sind aber prinzipiell auch andere Betriebssysteme gefährdet, auf denen wu-ftpd vor Version 2.6.0, von wu-ftpd 2.0, BSD ftpd 5.51 oder BSD ftpd 5.60 abgeleitete Software bzw. rpc.statd läuft. Details liefern die CERT-Advisories externer Link CA-2000-13 Two Input Validation Problems In FTPD bzw. CA 2000-17 Input Validation Problem in rpc.statd.

Im Zuge dieser Angriffe hat das CERT CC auch massenhafte Installationen des "t0rnkit" Rootkits und verschiedener Tools für Distributed Denial of Service Attacken beobachtet. Ein einziger Vorfall betraf der CERT-Meldung zufolge über 560 kompromittierte Hosts auf 220 Internet Sites, die allesamt als Angriffs-Server für das Tribe Flood Network 2000 (TFN2K) hätten dienen können. Ausdrücklich weist das CERT CC auf die gestiegene Verbreitung auch der Rootkits hin, die einmal installiert dem Eindringling eine ganze Reihe Hintertüren offen halten, indem sie verschiedene Systemprogramme (z. B. /bin/login, /bin/ls oder ein SSH-Server) durch manipulierte Versionen (Trojanische Pferde) ersetzen und die Protokollierung beeinflussen. Eine externer Link sorgfältige "Reinigung" betroffener Systeme ist daher besonders wichtig.