elxbot - Unixwurm

scip

Active Member
Falls das wen interessiert: seit Sonntag macht tatsächlich ein Wurm die Runde, der Unixmaschinen befällt. Es handelt sich um 'elxbot', der eine Schwachstelle im Mambo CMS ausnutzt. Der Bot installiert sich selbst nach /tmp/elxbot und nimmt dann Verbindung zu nem IRC Server auf. Von dort aus kann er dann ferngesteuert werden. Unter anderem kann der OP von dort aus dann den Bot dazu veranlassen via Google nach weiteren Mambosites zu suchen und diese zu infizieren, er kann DOS Angriffe starten und er kann beliebige Shellbefehle ausführen.

Ich weiss nicht, ob das hier das richtige Bord dafür ist, jedenfalls betreue ich eine Maschine, die davon betroffen war. Ich hab den Bot da und dachte mir, dass es durchaus interessant ist, sich den näher anzuschauen. Er ist in Perl geschrieben, zugegeben nicht eben schöner Code aber erstaunlich einfach genug, dass man ihn verstehen kann.

Wenn also jemand interessiert ist, kurze Meldung an mich, dann schick ich ihn. Oder darf ich ihn hier dranhängen?


Beste Grüsse, scip
 

dettus

Bicycle User
imho: pack den hier rein.
das ding dient dazu mambo zu befallen und mehr schafft der auch nicht.

wahrscheinlich schickt der einfach nur ein paket, welches bei mambo einen buffer ueberlaufen laesst, und gleichzeitig etwas schadcode hinten dranschreibt.
afaik funzt der auch nur unter linux, oder?
 

nickers

Well-Known Member
dettus schrieb:
imho: pack den hier rein.
das ding dient dazu mambo zu befallen und mehr schafft der auch nicht.
Ich bin eher für den Versand per Mail. Nicht das am Ende irgendein verwirrter Anwalt meint, saintjoe abmahnen zu müssen, weil dies Forum eine Schadsoftware vertreibt, die seinem unwichtigen Anwaltsportal gefährlich werden kann.
 

[moR-pH-euS]

Magnum P.I.
nickers schrieb:
Ich bin eher für den Versand per Mail. Nicht das am Ende irgendein verwirrter Anwalt meint, saintjoe abmahnen zu müssen, weil dies Forum eine Schadsoftware vertreibt, die seinem unwichtigen Anwaltsportal gefährlich werden kann.

Nach der Geschichte mit heise gestern, sollte man das wirklich lassen solche Sachen in Zukunft in Foren zu veröffentlichen.
 

trebroN

pixies
Quatsch... Sich nicht von der eigenen Ohnmacht und der Macht der anderen dumm machen lassen.

Das Urteil geht zu 100% in Revision und wird dann entsprechend nicht bestätigt. (Hoffentlich...)
 

nickers

Well-Known Member
trebroN schrieb:
Quatsch... Sich nicht von der eigenen Ohnmacht und der Macht der anderen dumm machen lassen.

Das Urteil geht zu 100% in Revision und wird dann entsprechend nicht bestätigt. (Hoffentlich...)
Aber warum sollte man vorher jemanden herausfordern? Ist ja nicht so als wär das hier ein Full-Disclosure-Forum in dem wir uns regelmässig über Sicherheitslücken und Exploits unterhalten. Ich denke wir können auch in diesem Fall auf das öffentliche Einstellen des Codes verzichten.

Prinzipiell bin ich auch eher für freie Meinungsäusserung, aber wir müssen mit unserem Recht darauf ja nicht unnütz die Zeit- und Bankkonten des Forendiktators belasten.
 

marzl

Well-Known Member
Bitte keine Schadcode posten und der Öffentlichkeit einfach so zur Verfügung stellen. Skripkiddies sollten sich schon anstrengen müssen :)
 

trebroN

pixies
Hallo,

nickers schrieb:
Aber warum sollte man vorher jemanden herausfordern? Ist ja nicht so als wär das hier ein Full-Disclosure-Forum in dem wir uns regelmässig über Sicherheitslücken und Exploits unterhalten. Ich denke wir können auch in diesem Fall auf das öffentliche Einstellen des Codes verzichten.

Prinzipiell bin ich auch eher für freie Meinungsäusserung, aber wir müssen mit unserem Recht darauf ja nicht unnütz die Zeit- und Bankkonten des Forendiktators belasten.

oh, entschuldigt bitte - ich war wohl noch nicht so ganz <strike>ausgenuechtert</strike> ausgeschlafen. Ich hatte das so interpretiert, dass hier nichtmal mehr ueber Sicherheitsluecken diskutiert werden soll...

Vergesst es einfach! Schadcode hat hier tatsaechlich nicht (unbedingt) etwas zu suchen.
 

scip

Active Member
dettus schrieb:
afaik funzt der auch nur unter linux, oder?

Ich hab keine Linux spezifischen Sachen gesehen. Mambo ist portabel (PHP) und der Wurm selbst in in Perl geschrieben, auch portabel - sollte also auch unter *BSD laufen. Ausprobieren werd ich das freilich nicht :)


- scip
 
Oben