Cracker attackiert Hochschulen

In den vergangenen Wochen ist ein Cracker in diverse Linux-Rechner eingebrochen. Anscheinend sind Hochschulrechner sein bevorzugtes Ziel, es ist aber nicht auszuschließen, daß auch andere Systeme betroffen sind. Er benutzt dabei einen beim CERT längst bekannten Bug einer alten IMAP-Version, um Root-Rechte auf dem Rechner zu erlangen. Anschließend ersetzt er unter anderem "login", "ps" und "ls" durch eigene Programme, die seine Spuren verwischen sollen, und startet einen Netzwerk-Sniffer, der Paßwörter ausspioniert.

Bei einem erfolgten Einbruch finden sich in den Log-Files häufig imapd-Fehlermeldungen über gescheiterte Logins, die der Cracker allerdings beseitigen kann. Potentiell verwundbar sind alle IMAP-Versionen vor IMAP4rev1. Eine einfache Schutzmaßnahme ist das Desaktivieren des Dienstes in der Datei /etc/inetd.conf. (ju)