Червь на Линуксом, Апачи

>Я словил ;( RH 7.2, с последними up2date'ами. Обнаруживается по /tmp/.bugtraq.c и еще паре филов в /tmp.

>пришло такое письмно на abuse@mydomain.com

>POSSIBLE NETWORK WORM INFECTION ON A MACHINE IN YOUR DOMAIN

>This is an automated e-mail sent from F-Secure Corporation. We're currently fighting a web worm called Linux.Slapper. This worm tries to infect Linux web servers via a known
>security hole in OpenSSL libraries. Full technical details are available below.

>We have sent you this e-mail because our automated systems suspect there might be an infected machine - or several - within your network domain.

>The IP addresses of the suspected computers are: 130.149.xx.xx, 130.149.xx.xx, 130.149.xx.xx, 130.149.xx.xx, 130.149.xx.xx

ХЕ так мы в одной подсети :) (правда большой)


кстати а почему RH а не SuSE ? ;)

PS: В продолжении темы - удаленной модератором
вот кстати пример: я в практически такой же ситуации НО
с OWL пока никаких подобных проблем не испытываю

>Насчет RedHat на серверах - интеллектуалам-чудакам, котрые считают, что >дистрибутив "Х" лучше чем дистрибутив "Y":

>bash$ uptime 8:06pm up 387 days, 13:00, 2 users, load average: 2.14, >1.90, 1.56 bash$ rpm -qa | grep redhat redhat-release-6.2-1 bash$ df >Filesystem 1k-blocks Used Available Use% Mounted on /dev/ida/c0d0p2 >497861 108239 363918 23% / /dev/ida/c0d0p5 46881312 31688820 12811000 >71% /opt /dev/ida/c0d0p6 4031856 1750048 2076996 46% /usr

жить системе осталось 110 дней сюдя по всему :))

RH - из-за персональных предпочтений, я на нем сижу с 4.хх версий. Пробовал тут Suse - ничего не могу сказать, просто надо привыкнуть. Согласен с мыслю, что плохих и хороших дистров нету - есть удобные и не очень.

2 sS (*) (2002-09-17 16:37:24.28)

>>кстати а почему RH а не SuSE ? ;)

а вот почему ;))) чтение - иногда полезный навык.. читай.

http://securityresponse.symantec.com/avcenter/security/Content/2002.09.13.html

Reference Bugtraq ID 5363, Subj: OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow Vulnerability

Risk Impact High

Affected Components

Red-Hat: Apache 1.3.6, 1 3 9, 1.3.12, 1.3.19, 1.3 20, 1.3 22, 1.3 23, 1.3.26 .

SuSe: Apache 1.3.12, 1.3 17, 1.3 19, 1.3.20, 1.3 23 .

Mandrake: Apache 1.3 14, 1.3.19, 1.3.20, 1.3 23 .

Slackware: Apache 1.3 26 .

Debian: Apache 1.3.26 ну и т.д. ...... Ну а так :))) если обещаешь обсуждать _ТЕМУ_ а не шлакварь, признаю :)) slackware самый пресамый-пресамый-пресупер-передрюпер-slackware в конфе о дистрах готов обсудить...

Кстати, к чему не могу привыкнуть - так это к тому, что распространяются сырцы бяки, и на каждом хосте компилятся ;)

>2 sS (*) (2002-09-17 16:37:24.28)

>>>кстати а почему RH а не SuSE ? ;)

>а вот почему ;))) чтение - иногда полезный навык.. читай.

Уважаемый Ононимус - вопрос был не Вам и имел совсем
другой подтекст касаемый в общем то оффтопика
а читать мы читаем рассылку а не ее web-зеркало

А насчет обсуждения темы - ну давай обсудим.
Если модератор не начнет вытирать все что касается
OWL,GRSEC,LIDS,RSBAC,...etc

Кстати в юзаемой МНОЙ слаквари (;)) mod_ssl по дефолту задизаблен
но это действительно не в топик ...

> Кстати, к чему не могу привыкнуть - так это к тому, что распространяются сырцы бяки, и на каждом хосте компилятся ;)
Поставь LIDS или RSBAC и запрети рутам и онанимусам пользоватся компилятором :)
Проблемы как рукой снимет ... после того как систему настроишь разумеется :)


PS: вообще то черви как правило настроены на некую стандартную конфигурацию
и весь их AI сводится к перебору некоего набора стандартных конфигураций ...
Так что как разумный вариант можно рассматривать дистрибутив с минимумом
включенных по дефолту возможностей (не будем тыкать пальцем в конкретику)
с возможностью их РУЧНОГО включения + в качестве cоломки
можно подстелить те или иные security patches - чтоб неожиданности
связанные с подобными инцидентами не были бы сильно неожиданными ...
это правда сразу переносит систему в разряд нестандартных и это
САМО ПО СЕБЕ уже может быть причиной nonexploitable данной системы...
А вот обновление софта это уже никак не элемент защиты (ImHO) потому
как явление из разряда постфактум...

А как определить и как избавится от этого червяка? Тут залеззла собака, но вычистить не хватает ума, знающие люди подсказивают, что надо систему переставить и все, а мне както это дело не охота делать? Где он чидит этот червь, и как его грохнуть. пАмагите!!!

2anonymous (*) (2002-09-17 19:37:46.484):

А rpm --verify -a не спасет?

Гхм. Пролетали рекомендации на роутерах компиляторы не оставлять.
Может и на вебсерверах их сносить?

я в линуксе слабоват! но что это означает? обновится?

ps -ax | grep bugtraq, если чего увидишь - убивай, плюс потри подозрительные сырцы на .с в /тмп и проапдейть опенссл.

>2anonymous (*) (2002-09-17 19:37:46.484):

>А rpm --verify -a не спасет?

Ты понял что сказал то ? :)
Или просто не в курсе чем отличается червь от вируса или руткита ?

ps -ax | grep bugtraq сделал ничего не висит, в tmp нифига нет уже такого, но трафик жрет ужасно, сканирует чтото эта зараза...

че еще можно?

>ps -ax | grep bugtraq сделал ничего не висит, в tmp нифига нет уже такого, но трафик жрет ужасно, сканирует чтото эта зараза...

>че еще можно?

netstat -pNtu и смотри кто что делает и зачем ...

ТИПА ТАКОГО, ну где же его падлу найти ?(

[root@SERVER drweb]# netstat -pNtu Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 10.0.0.10:netbios-ssn 10.0.0.1:4283 ESTABLISHED 1793/smbd tcp 0 0 10.0.0.10:ssh 10.0.0.1:4225 ESTABLISHED 1553/sshd tcp 0 0 10.0.0.10:mysql 10.0.0.10:1153 ESTABLISHED 1137/mysqld tcp 0 0 10.0.0.10:ssh 10.0.0.1:4246 ESTABLISHED 1629/sshd tcp 0 0 10.0.0.10:1153 10.0.0.10:mysql ESTABLISHED 1292/httpd udp 0 0 127.0.0.1:1044 127.0.0.1:domain ESTABLISHED 820/nscd

нужны варианты, трафик ужас какой, до 100 байт но нагшаняет огого...

Положи апач и mysql и закрой 2001/2002 UDP порты на вход-выход
PS: вообще то ничего кроме 2-х первых я не вижу что могло бы
создать сколь нибудь большой траффик ...

PS2: 100 bps это БОЛЬШОЙ траффик ? ;)

PS3: а tcpdump чего говорит ?

Вот что за трафик у меня, если это постоянно то эти байты превращаются в килобайты, а если это круглосуточно то набегает ого-го

Порты закрыл так (правильно?)<br>

ipchains -A output -s 0.0.0.0/0 -d 0.0.0.0/0 -p 2002 -j REJECT<br>

ipchains -A output -s 0.0.0.0/0 -d 0.0.0.0/0 -p 2001 -j REJECT<br>

icmp server destun node1fe91.a2000.nl 97<br> udp ukcsr-5.colo.uk.gri 2002 server 2002 69<br>

udp thor.mediawest.com 2002 server. 2002 276<br>

icmp server destun ukcsr-5.colo.uk.gri 97<br>

icmp server destun thor.mediawest.com 388<br>

udp 62.223.254.130* 2002 server 2002 69<br>

udp nursingtracker.uwec 2002 server 2002 138<br>

icmp server. destun nursingtracker.uwec 194<br>

udp etna.butler.edu 2002 server 2002 157<br>

icmp server destun etna.butler.edu 213<br>

icmp server destun 62.223.254.130* 97<br>

udp 199.44.108.162* 2002 server 2002 69<br>

icmp server destun 199.44.108.162* 97<br>

udp 200.52.4.53* 2002 server 2002 69<br>

icmp server destun 200.52.4.53* 97<br>

udp 61-221-156-19.HINET 2002 server 2002 88<br>

icmp server destun 61-221-156-19.HINET 116<br>

udp customer-GDL-193-95 2002 server 2002 138<br>

icmp server destun customer-GDL-193-95 194<br>

udp 217.56.104.235* 2002 server 2002 69<br>

icmp server destun 217.56.104.235* 97<br>

udp 216.33.67.71* 2002 server. 2002 640<br>

Угу - похоже червячек имеется ...

может какая модификация - ищи в
ps -aux под другими именами типа .a, .init ...
ну и попробуй netstat -upc - вдруг успеешь поймать чего ...
или fuser 2002/udp

PS: так по ls -al /tmp разве ничего интересного нет ?

или попробуй еще netstat -uap ... у меня под рукой сейчас исходника нет
а на память я механизм их общения друг с другом не помню ...

вот то, что выдает при тех командах

http://www.autotrade.dp.ua/temp/ps-aux http://www.autotrade.dp.ua/temp/netstat-uap

а в темпе только ничего нет, только session_mm.sem

У RedHat 7.3 в updates лежит openssl-0.9.6b-28 от 5 августа.
Кто-нибудь знает, в нем эта дыра пофиксена?

непонято почему, но пришел утром включил tafshow и нифига никто никого не сканирует, к 2002 порту никто не лезет , что же эт такое? Может сам этот червь убраться? Или что за ... Может перед бурей?-)

Я за debian

Соверненно с вами согласен, хотя несколько месяцев назад были проблемы после апдейта libdb2 полег апач, но это происходит крайне редко и если сравнивать пользу от apt и вред то скорее всего пользы больше :-)