Hallo Jochen, > wie wehre ich den Wurm ab?
Der Apache Wurm, ein wahrer Springteufel, da er auch das umliegende Netz lahmlegt und alle verr�ckt macht. Kurze Erl�uterung: Dieser Apache Wurm sucht selbstst�ndig nach anderen Opfern und verbreitet sich so weiter. Die betroffenen Rechner lauschen auf dem UDP Port 2002 oder 4156 (neueste Version) und k�nnten f�r eine "Distributed Denial of Service Attacke" (DDoS) genutzt werden, da der Wurm eine entsprechende Schadensroutine enth�lt. Abwehr: Um den Bug in OpenSSL zu beheben und das Sicherheitsloch zu schlie�en, wird dringend empfohlen, OpenSSL auf Version 0.9.6e oder h�her upzudaten. Die aktuelle Version ist 0.9.6.g. Das neueste Update finden sie hier : openssl-update. ( http://www.openssl.org/source ) Bisschen warten openssl.org-Seite ist stark frequentiert. Beide Tarb�lle zu download direkt hier: Download direkt: http://www.openssl.org/source/openssl-engine-0.9.6g.tar.gz http://www.openssl.org/source/openssl-0.9.6g.tar.gz downloaden und dann auf Ihren Linuxserver ftp�n. Installation: Vom Verzeichnis in dem sich die beiden Tarb�lle befinden: cp *.tar.gz to /tmp * Den Tarball openssl-0.9.6g.tar.gz entpacken und das Verzeichnis openssl-0.9.6g/ freilegen und openssl installieren: cd /tmp tar -zxvf openssl-0.9.6g.tar.gz cd openssl-0.9.6g.tar.gz ./config shared make make test make install * Den Tarball openssl-engine-0.9.6g.tar.gz entpacken und das Verzeichnis openssl-engine.0.9.6g/ freilegen und openssl-engine installieren: cd /tmp tar -zxvf openssl-engine-0.9.6g.tar.gz cd openssl-engine-0.9.6g.tar.gz ./config shared make make test make install * L�schen der openssl rpm �s: rpm --erase --nodeps openssl * Die neu angelegten Dateien verlinken: cd /usr/lib rm libcrypto.so rm libcrypto.so.1 rm libcrypto.so.2 rm libssl.so rm libssl.so.1 rm libssl.so.2 ln -s /usr/local/ssl/lib/libcrypto.so libcrypto.so ln -s /usr/local/ssl/lib/libcrypto.so libcrypto.so.1 ln -s /usr/local/ssl/lib/libcrypto.so libcrypto.so.2 ln -s /usr/local/ssl/lib/libssl.so libssl.so ln -s /usr/local/ssl/lib/libssl.so libssl.so.1 ln -s /usr/local/ssl/lib/libssl.so libssl.so.2 ln -s /usr/local/ssl/include/ /usr/include/ssl cd /usr/include rm -rf openssl ln -s /usr/local/ssl/include/openssl openssl * ldconfig restarten * Aufruf von ldconfig, welches Links auf die aktuellen Versionen der shared libraries auf den * neuesten Stand bringt. cd /etc rm ld.so.cache vi ld.so.conf -> reinschreiben unten: /usr/local/ssl/lib -> reinschreiben ganz unten: /usr/local/lib <-- optional ldconfig Fertig. Testen: Der Wurm vollbringt sein diabolischen Werk �ber Port 2002 und neuerdings auch �ber Port 4156. Diese Ports sind zu testen netstat -an | grep 2002 netstat -an | grep 4156 Keine Meldung, dann ist Ihr System vor diesem Wurm sicher. Welche Ports an Ihrem System erfahren Sie mit nmap.Zu finden unter http://freshmeat.net/search/?q=nmap§ion=projects Mit nmap k�nnen Sie Ihr Netzwerk nach offenen Ports untersuchen. Ein Analysetool. Sollten Sie Hilfestellung ben�tigen oder einen besseren L�sungsweg kennen, scheuen Sie sich nicht mich zu kontaktieren. Wenn Sie Fragen oder Anregungen haben, dann setzen Sie sich bitte einfach unter Tel: 089 54071102, e-Mail: [EMAIL PROTECTED] oder Fax: 089 54071103 mit uns in Verbindung. Mit freundlichen Gr�ssen Oliver Etzel secure serverhousing www.t-host.de
