Viren-Hilfe: Aktuelle Meldung zum W32/Bagle.AG@mm

Meldung vom 21. Juli 2004

Seit wenigen Tagen sind neue Varianten des E-Mail-Wurms W32/Bagle im Umlauf, welche gezielt Attacken gegen Web-Server und WebSeiten durchführen. Mit diesem Artikel möchten wir System-Administratoren aufzeigen, was gegen die "Attacken" unternommen werden kann, und wie das Problem der Nicht-Erreichbarkeit der Server gelöst werden kann.

Problematik

Infizierte Rechner, die mit dem Internet verbunden sind, senden extrem viele Anfragen (wir haben bis zu 1 Million täglich gemessen) an die betroffenen Server, und rufen dort die Seite o.php ab. Das Problem für die System-Administratoren, bzw. die Server ist, diese Seiten zu generieren, und auszuliefern. Oftmals ist diese Seite auf dem Server gar nicht existent, sodass der Server einen HTTP-Fehler 404 zurückliefert. Eventuell wurde sogar noch eine eigene 404-Seite hinterlegt, wodurch die Last allerdings nochmal steigt.

Massnahmen

• Zunächst empfehlen wir, eine selbst gestaltete 404-Seite zu deaktivieren, bzw. eine leere Datei anzulegen, die o.php heisst. Somit kann zumindest der unnütze (und teure) Traffic vermieden werden.
  
  Erfolg:
  
  Im Referenzfall www.schulen-ans-netz.de führte das Anlegen einer entsprechenden leeren Seite zu einer deutlichen Reduzierung der Last (Load-Average) auf dem System, der Traffic ging rapide runter, allerdings blieb die Reaktionszeit langsam.
• Viele Apache-Server werden mit den Standard-Einstellung betrieben, bei denen KeepAlive aktiviert ist. Keep-Alive sorgt dafür, dass eine Anfrage eines Clients eine persistente Verbindung öffnet, welche für weitere Anfragen des gleichen Clients genutzt werden kann. im Normalfall entlastet dies den Server, weil er weniger Verbindung öffnen und schliessen muss. Bei diesen enorm vielen Anfragen führt aktiviertes Keep-Alive allerdings dazu, dass der Server die immense Anzahl an gleichzeitigen Verbindungen verwalten muss. Eine Abschaltung von Keep-Alives ist in der http.conf (unter Linux-Servern oft unter /etc/httpd/httpd.conf oder /usr/local/httpd/httpd.conf zu finden) möglich. Ändern Sie in der Zeile den Eintrag "KeepAlive On" in "KeepAlive Off" und aktivieren die Änderung mittels apachectl restart oder rcapache restart.
  
  Erfolg:
  
  Im vorliegenden Fall führte die Abschaltung von Keep-Alives zu einer deutlichen Reduzierung der geöffneten Prozesse (von rund 700 auf knapp 100). Nach wenigen Minuten hatte der Server die alte Performance wieder erreicht.

Feedback von Site-Betreibern und Administratoren, Ergänzungen

• Sollte eine Abschaltung von KeepAlives nicht erwünscht sein, wäre eine alternative Möglichkeit, diese nur für die Requests auf die o.php zu beschränken, und nur für diese Requests KeepAlives zu deaktivieren. Eine entsprechende Lösung erhielten wir von Herrn Tom Anheyer von www.berlinonline.de:
  
  <LocationMatch "^/o.php">
  Order Allow,Deny
  Deny from all
  ErrorDocument 403 "Sorry
  SetEnv nokeepalive
  SetEnv downgrade-1.0
  SetEnv force-response-1.0
  </LocationMatch>

• Feedback bei betroffenen Windows-Systemen erhielten wir von den Betreibern der "Universität der Bundeswehr München" www.unibw-muenchen.de, auch hier war die Deaktivierung von HTTP-KeepAlive eine wirksame Methode.

• Statt einer leeren Datei kann es sinnvoll sein, eine Datei auszuliefern, welche ein Byte Inhalt enthält.
  

Kontakt - Unterstützung bei der Einrichtung

Sollten Sie technische Unterstützung bei der Änderung dieser Einstellungen benötigen, oder weitere Fragen zum Thema haben können Sie uns gerne kontaktieren - bitte senden Sie eine E-Mail an viren@oberdieck-online.de. Natürlich freuen wir uns auch über entsprechendes Feedback, wenn Sie die Änderungen selbst vornehmen konnten.

Informationen bei den Herstellern von Antiviren-Software

Unter den nachfolgenden Links finden Sie weitere Informationenüber den Wurm:

• http://www.sophos.de/virusinfo/analyses/w32bagleag.html (deutsch)
• http://de.mcafee.com/virusInfo/default.asp?id=description&virus_k=126795 (englisch)

Rechtlicher Hinweis

Selbstverständlich können wir für die hier bereitgestellten Informationen keine Haftung übernehmen. Die Änderung von System-Einstellungen kann dazu führen, dass Ihr Server nicht erreichbar ist, oder anders reagiert, als in unserem Fall. Jeder System-Administrator ist für die Einstellungen an seinen Servern selbst verantwortlich.

Meldung auf heise.de

Der Artikel wurde mt entsprechenden Informationen auch auf dem bekannten Nachrichten-Portal heise.de veröffentlicht. Die vollständige URL zum Artikel lautet http://www.heise.de/newsticker/meldung/Bagle-Wurm-legt-Web-Server-lahm-Update-100939.html.