Ny orm angriper Linux

Ledende sikkerhetsselskaper advarer mot destruktiv kode beregnet på Linux-baserte webservere. Ormen er døpt Lupper.

Ormen sprer seg ved å utnytte webservere som er verter for utsatte skripter på bestemte lokasjoner, skriver sikkerhetsselskapet McAfee, som kaller den nye ormen "Lupper."

Den angriper webserverne blindt ved å sende destruktive hhtp-forespørsler mot port 80, skriver McAfee.

Dersom målserveren kjører et av de sårbare skriptene på bestemte url-er, og er konfigurert slik at den tillater eksterne skall-kommandoer og filnedlasting utenfra i PHP/CGI-miljøet, blir en kopi av ormen lastet ned og kjørt.

Inn bakdøra

En bakdør blir da installert på smittede servere, som kan gi angriperen mulighet til å ta over kontrollen over systemet utenfra. Her finner du Symantecs beskrivelse av ormen. Symantec kaller den forresten "Plupii".

McAfee vurderer risikoen for Lupper som lav, mens Symantec setter risikoen til middels, men noterer at spredningen er lav. SANS Internet Storm Center, som registrerer nettverkstrusler, melder om noen få observerte tilfeller.

Begge de nevnte sikkerhetsselskapene har oppdatert sine produkter for beskyttelse mot den nye ormen. Symantec anbefaler fullstendig reinstallering av systemet ved smitte, siden det vil være vanskelig å fastslå hva annet det har vært utsatt for.

Norske Norman har ikke registrert Linux-ormen på sitt nettsted. Det har heller ikke TrendMicro eller Kasperskylabs.