LINUX.ORG.RU

Вирус для Linux


0

0

Какой-то добрый человек постарался и написал очередной вирус-червь для Linux.
Антивирусная компания "Лаборатория Касперского" сообщает об обнаружении нового интернет-червя "Slapper", заражающего компьютеры под управлением операционной системы Linux. Отличительной чертой этого вируса является то, что авторы вредоносной программы использовали в нем алгоритм распространения в исходных текстах, впервые примененный 14 лет назад - в 1988 году, в так называемом черве Морриса.

Для определения потенциальной жерты Slapper сканирует компьютеры, подключенные к интернету, и определяет системы, использующие веб-сервер Apache под Linux. Затем вирус пытается получить контроль над сервером, используя уязвимость в программном пакете OpenSSL. Копия вируса передается на компьютер-жертву и представляет собой исходный код червя, который затем компилируется с помощью компилятора gcc и запускается. Такой способ распространения впервые был применен в черве Морриса, который за короткое время поразил более 6000 компьютерных систем в США в 1988 году и повлек убытки в размере свыше 96 миллионов долларов.

Так что у кого OpenSSL версии 0.96d и раньше рекомендуется проапгрейдится, а то будет как с Microsoft IIS.


>>> Полная версия статьи

евгений блин пару новостей до этого итак уже флейм по этому поводу ... кстати дети на пакетсторме толькочто появился он сам ... :-) c тем самым bugtraq.c :-) правда мои знакомые из woowoo дали мне его уже 4 дня назад... но насколько я знаю до этого момента в свободном доступе его небыло ... sK ваш последний шанс поиметь кучу народу .... кстати по данным f-secure вчера в зоне ru было захвачено всего 52 хоста в net кстати более > 2 тонн раша как разз посередине такчто детки последний шанс ;-)

anonymous
()

Эта штука значительно хуже CodeRED/Nimda. В данном случае даже при выключении компа на него продолжает литься входящий трафик с других хостов/жертв. Так что эта штука принесет огромные убытки корпоративным пользователям сидящим на выделенках и платящим за трафик (ВХОДЯЩИЙ).

anonymous
()

хе-хе-хе. Не надо было линуксы ставить. Тем более не патчить системы.

anonymous
()

Но ведь красивая зверюшка , не правда ли ? Дестрой по рукам ленивых админов и каналам барыжных провайдов не помешает , но эстетика , господа , эстетика -- такой давно не было .. Редко в новейшие времена такие шедевры появляются , а идея ведь богатая и древняя .. Ура !

anonymous
()
Ответ на: комментарий от SandySandy

чтобы компилировать под машину различные сервисы ... в том числе и червей :-)

Warmonger
()

опять один и тот же анонимус разговаривает сам с собой :)

petrosha ★★★★★
()

Чем флеймить лчше бы сказали как эту дырку закрыть.

anonymous
()

Очень просто - НАДО УБИТЬ GCC ;))))) 
(Ну хотябы временно или переименовать какнить)!
---------------------------------------------------
"Зры в корэн", как говорил товарыщ Сталин

PETER ★★
()

таки я не понял. базар чтоли по поводу этой дыры: ================================================================== ftp://ftp.slackware.com/pub/slackware/slackware-8.1/ChangeLog.txt ---------------------------- . . . Tue Jul 30 19:45:52 PDT

(* Security fix *) patches/packages/mod_ssl-2.8.10_1.3.26-i386-1.tgz: This update fixes an off-by-one error in earlier versions of mod_ssl that may allow local users to execute code as the Apache user. For more information, see: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0653

(* Security fix *) patches/packages/openssh-3.4p1-i386-2.tgz: Recompiled against openssl-0.9.6e. This update also contains a fix to the installation script to ensure that the sshd privsep user is correctly created. patches/packages/openssl-0.9.6e-i386-1.tgz: Upgraded to openssl-0.9.6e, which fixes 4 potentially remotely exploitable bugs. For details, see: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0659

(* Security fix *) patches/packages/openssl-solibs-0.9.6e-i386-1.tgz: Upgraded to openssl-0.9.6e, which fixes 4 potentially remotely exploitable bugs. For details, see: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0659 ============================================================= если да, то я х$%&ю. Такие апдейты сразу вроде ставят...

anonymous
()

Это тебе кажется, что ставят, а вот Неткрафт говорит, что 75% серверов не патчены.

anonymous
()

Amazon начинает тестирование ПО Oracle на Linux

Ну просто в апаче OpenSSL прокрутил такую же дыру, как была в свое время в IIS, когда распространялся Code Red/Nimda и т.д.
И причина массового распространения та же самая - неустановка выпущенных производителем патчей.

А кричали обычно, что Linux-админы гораздо более прилежные и грамотные. В ту же лужу сели :(

Eugeny_Balakhonov ★★
() автор топика

по поводу как лечить, если нет возможности поставить new OpenSSL:
во-первых, chmod 700 /usr/bin/gcc или где он там есть
во-вторых, touch /tmp/.bugtraq.c; chmod 000 /tmp/.bugtraq.c
ну и в-третьих, можно выключить SSLv2 в конфиге апача, в секции про mod_ssl.

г-н Балахонов: новость уже тухлая, это раз, и два, давайте тогда определим понятие "линукс админ". имхо тот, кто за security updates не следит, недостоин звания админа - максимум эникейщик.

kmike ★★
()

$ telnet www.some.host 80
GET /mod_ssl:error:HTTP-request HTTP/1.0 <вслепую>

anonymous
()

Блин народ не говорите глупостей про chmod 700 gcc!
И что вы получите? Червь не залезет, а злой дядька, которому нужен /bin/sh залезет! Или вы думаете что червь опаснее человека????

Так что как я думаю наиболее грамотная защита от разных дыр это -
- пускать сервисы от юзеров а не от рута
- поставить openwall patch или grsec
- запретить юзерам типа nobody, cyrus, mail и прочим от которых сервисы работают испольнять непроверенные проги (проверенные это владелец которых root)
- хорошо бы им еще запретить системой ACL (надо будет посмотреть grsec на счет этого) запускать другие проги (исключается запуск /bin/bash) - это опция
+ еще всякие фишки... и syslog копии на другую машину


trol

anonymous
()

Шуму-то подняли, эта новость еще раньше была. Как лечить? killall -9 .bugtraq; rm /tmp/*bugtraq* и проапдейтить опенссл.

gregbg
()

насколько я понимаю, если я использую апаче без ссл, червь мне не страшен?

anonymous
()
Ответ на: комментарий от anonymous

>насколько я понимаю, если я использую апаче без ссл, червь мне не страшен?
Этот НЕТ, а если апач не русский то жди следующего - который
будет юзать дыру с отрицательным размером чанка :)

PS: описание дыры (в ssl) было черти сколько давно сделано и апдейты
вышли раньше появления червяка так что это ImHO не проблема Linux
а проблема людей, его юзающих.



sS ★★★★★
()

Подскажите плз.

У меня стоит апач с mod_ssl как DSO и openssl тоже .so.

Достаточно ли поставить просто новый openssl или мне всетаки прийдется перекомпилять апач с mod_ssl?

anonymous
()
Ответ на: комментарий от anonymous

> для FreeBSD вирус не опасен ?
опасен. разницы нет.

mumpster ★★★★★
()

/*
* openssl-too-open.c - OpenSSL remote exploit
* Spawns a nobody/apache shell on Apache, root on other servers.
*
* by Solar Eclipse <solareclipse@phreedom.org>
*
*/

openssl-too-open is a remote exploit for the KEY_ARG overflow in
OpenSSL 0.9.6d and older. It will give you a remote shell with the
priviledges of the server process (nobody when used against Apache,
root against other servers).

Only Linux/x86 targets are supported.

anonymous
()
Ответ на: комментарий от qrot

Для BSD есть другой червь (Scalper) использующий дыру
с отрицательным размером чанка
http://www.sophos.com/virusinfo/analyses/elfscalpera.html
Если говорить про конкретно субжевый червь (Slapper)
то он использует другую дыру (ssl) и ...

The OpenSSL server vulnerability exploit exists on a wide variety of platforms, but Slapper appears to work only on Linux
systems running Apache with the OpenSSL module (mod_ssl) on Intel architectures.

(http://online.securityfocus.com/news/662)

sS ★★★★★
()

вирусная p2p сеть! фантастика
киньте исходником а?
trash@mo3gov.net

anonymous
()

все, не надо - нашел

anonymous
()

У RedHat 7.3 в updates лежит openssl-0.9.6b-28 от 5 августа.
Кто-нибудь знает, в нем эта дыра пофиксена?

anonymous
()

Не, я фигею, опять бздуны за свое взялись, багтрек видать не читают совсем...
Ну причем тут Линукс? Ведь сказано, что дыра в openssl, а то, что эксплоид вы
только под Линукс видели, не делает вам чести утверждать, что Линукс
такой сякой и не нужно его ставить, если вам нужен эксплоид под вашу родную
фрю, то нате ловите ссылочку http://dammit.lt/apache-worm/, и задрочитесь
до посинения...

McMCC ★★★
()

>Для BSD есть другой червь (Scalper) использующий дыру

Да червь один и тот же, а вот механизмы проникновения действительно разные...

Насколько стало более менее ясно, в Линуксе достаточно обновить openssl,
но если есть какие-то сомнения, то можно пересобрать модуль mod_ssl
c обновленным openssl и забыть про эту дыру, однако openssh надо
пересобрать всем с новым openssl...

McMCC ★★★
()

я такой херни вообще не боюсь. ну а что он может такого сделать под nobody???? все равно рута он никогда не получит..... а в iis вебсервером можно запрсто всю систему угробить.

anonymous
()

PETER (*) (2002-09-18 08:55:35.59):
anonymous (*) (2002-09-18 11:29:15.374):

Почитайте, ка, умники, про сборку апача "в песочнице" (chrooted).
В этой песочнице положите скрипт, назовите его "gcc", а в скрипте напишите посыл почты админу, что "апач захотел gcc чтобы скомпилять $@"

Черви, черви...

anonymous
()

>Да червь один и тот же, а вот механизмы проникновения действительно разные...

В смысле один и тот же ? Судя по исходнику они похожи и видимо писались один с другого но таки разные...
вот кстати описание субжевого ..
http://www.sophos.com/virusinfo/analyses/linuxslappera.html

sS ★★★★★
()
Ответ на: комментарий от anonymous


>я такой херни вообще не боюсь. ну а что он может такого сделать под nobody????
Ну во первых не nobody а apache как минимум
а во вторых почитай ссылки - тут их полно накидано ... или
про DDoS первый раз слышим ?

sS ★★★★★
()

блин при чем сдесь вообще линукс то ебт дыра в openssl притом она вам опасна только если стоит mod_ssl он у вас многих стоит ? теперь мля про фрю дыра есть и там ... просто вирус под линукс ... а вообще прошло полгода кажись уже если не больше вы чего софт вообще не обнавляете ? насчет gcc нафига такие кардинальные решения ... давайте вообще провод из разетки выдернем так оно надежней ... у меня например на нескольких хостах стоит gentoo там без gcc знаете ли сложновато ...

anonymous
()

>блин при чем сдесь вообще линукс то ебт дыра в openssl притом она вам опасна
>только если стоит mod_ssl он у вас многих стоит ? теперь мля про фрю дыра
>есть и там

Опасно не только для mod_ssl, опасна вообще, если что-нибудь собрано с openssl
до версии не ниже, чем 0.9.6e, это могут быть IPSec(FreeSwan), openssh и т.д.,
лечится только заменой на свежую версию openssl, кстати, RedHat в своей
версии openssl-0.9.6b-28, тоже профиксила эту дыру(насколько помню спек, это
20-ый патч), причем это было 5-го августа, а шумиху подняли в сентябре, почти
через месяц. Специально взял тест эксплоид openssl-sslv2-master, включил
на апаче mod_ssl и проверил:
1. openssl-0.9.6b-18 из RH-7.3
10.10.10.1 443 VULNERABLE: does not detect small overflow
2. апгрейт на openssl-0.9.6b-28
127.0.0.1 443 PATCHED: detects small overflow, but crashes (0.9.6e)
3. openssl-0.9.6h-30
К сожалению редхедовская версия меня не устраивает, она для
штатов, там выдернута IDEA, RC5 и MDC2. Я себе собрал из снапшота 0.9.6h
совсеми этими алгоритмами и сделал rpm'ку с учетом структурных патчей от
RedHat, после установки и запуска теста получил
127.0.0.1 443 PATCHED: fully patched (0.9.6g)

В первом случае тест роняет апач в сегфаулт, о чем пишет в лог, но так как
апач рестартует, то ничего опасного не случилось, во втором и в третьем
случаях лог пишет OpenSSL library error follows и никакого сегфаулта,
так что это ответ на вопрос, кто то выше спрашивал, есть ли эта дырка в
в обновленом openssl-0.9.6b-28...





McMCC ★★★
()

To: McMCC

О, поделись SRPMS ? URL ?

anonymous
()

>О, поделись SRPMS ? URL ?

Смысла нет, лучше используйте openssl-0.9.6b-28, иначе большую часть
пакетов придется пересобирать с поддержкой новой openssl, думаете
RedHat зря ведет эту версию с кучей патчей, кстати, патчи приближают
эту версию до 0.9.6e, если хочется поиметь поддержку IDEA, RC5 и MDC2
то это делается правкой спека, нужно закоментировать запуск скрипта
%{SOURCE1} в секции %setup и убрать ключи no-idea no-mdc2 no-rc5,
где запускается ./config, вот вообщем-то и все....

McMCC ★★★
()

2 McMCC когда я говарил про то что опасен только с mod_ssl это и имелось в виду т.е. для зборки использовался openssl .... насколько я знаю в апаче его только mod_ssl и использует ...

anonymous
()

Привет.

Дайте ссылку на исходник или зашлите на _seal@mail.ru, плс.

nick_strebkov
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.