Nach der Analyse eines Einbruches in einen Linux-Rechner innerhalb unserer
Domain uni-heidelberg.de hat sich folgendes ergeben:

- es handelte sich höchstwahrscheinlich um einen Wurm namens 'lion' der
  in erster Linie Server mit der DNS-Software 'bind' befällt.
- er ist sehr aggressiv und verbreitet sich sehr schnell,
- er sucht nach Admistrator-Passwörter und schickt sie per E-mail an eine
  'china.com' Adresse.
- er richtet 'back doors' ein,
- eine Modifikation in 'inetd' konnte festgestellt werden.

Da nicht vollständig überschaut werden kann, was alles betroffen ist,
müssen betroffene Rechner vollständig neu installiert werden (die
Festplatte muss neu formatiert werden).

Siehe auch http://www.sans.org/y2k/lion.htm

Es ist ein Programm 'lionfind' in der Entwicklung, das den Wurm erkennen
und beseitigen soll.

Siehe dazu
  http://www.ists.dartmouth.edu/IRIA/knowledge_base/tools/lionfind.htm

Ich bitte dringend darum, alle Linux-Server gründlich zu überprüfen und
bei Unregelmäßigkeiten mich, bzw. das URZ zu verständigen. Falsche Scham
hilft uns hier nicht weiter.

In jeden Fall muss 'bind' entsprechend hochgerüstet werden. Weitere
Hinweise sind auf den o.g. WWW-Seiten vorhanden.

Mit freundlichen Gruessen
Joachim Lammarsch