Linuxos féreg támadja a Mambo motorral hajtott portálokat

Biztonsági szakértők figyelmeztetnek arra, hogy egy C-ben írt linuxos worm támadja a Mambo portál engine és a PHP XML-RPC hibáit.

A Mare.D névre hallgató worm többszörös backdoor-t hagy maga után. A worm nagy részét C-ben írták, és gcc-vel fordították. - mondta Erdélyi Gergely az F-Secure kutatója.

A cikk itt.

Hozzászólások

Mit? Nem használok szerveren Linuxot. Desktop gépemen se PHP, se Mambo-t, se XML-RPC-t. :-D

Kommentálni max. azt tudom, hogy C helyett biztos, hogy inkább Perl-ben vagy egyéb szkript nyelvben kellett volna megírni, mert akkor nagy eséllyel működne több rendszeren. De a lame lelkem C-ben írta. Ügyes volt. :-))

--
trey @ gépház

Nem, mert C-ben írta a majom, és ez ott nem fog működni. Csak akko', ha lefordítja arra is. Pont ezért nem fog futni FreeBSD-n, OpenBSD-, meg a többi máson se. Ezért írtam, hogy nagyobb károkozásra lenne képes szerintem, ha valami gyakran használt szkriptben írta volna.

Újabban a Perl a divat...

:-)

--
trey @ gépház

Még ha le is fordítja...

Javíts ki ha tévednék... A perl szkript lefut noexec /tmp (ahova az ilyeneket a PHP esetén szemetelni szokták) esetén is, mivel nem a szkript fut, hanem maga a perl. Ugyanez C-ből fordított bináris esetén mondjuk libsafe esetén nem játszik? Hm?

--
trey @ gépház

noexec-el mountolt particiorol valoban nem fog futni a binaris, amennyiben az adott OS-nel ez a funkcio tisztessegesen implementalt (linux eseten jo sokaig siman felul lehetett biralni ezt a viselkedest).
viszont, ezen a vonalon tovabbmenve, megfeleloen ACL-ezett rendszeren a perl scriptet se fogod futtatni, akar noexec a particio, ahova tudsz irni, akar nem. persze ilyenkor a forditot se igen tudod meghivni, mar ha van egyaltalan.

egyebkent szerintem azon rendszerek donto tobbsegen, ahol ez a hiba kihasznalhato, se noexec-es /tmp, se ACL nincs.

a libsafe hogy jon a kepbe?

ha ugyanarra a libsafe-re gondolunk, akkor annak nincs koze a noexec mounthoz. a noexec mount linux alatt amugy is benan van megcsinalva (mi nem ;P), nem tul nehez kijatszani (pl. i386 trivialis, az ELF program headers-bol ki kell szedni a PF_X biteket, ettol mar atmegy a noexec ellenorzesen viszont tovabbra is vegrehajthato marad a kod).

ja, azt nem mondtam, hogy PaX alatt persze rendesen mukodik a noexec, se PF_X kiszedese, se a trukkosebb 'ramap-pelek a stack-re es egy ret2libc-vel raveszem az ld.so-t, hogy csinaljon egy mprotect(PROT_EXEC)-t' nem mukodik. ha jol emlekszem, akkor meg a NetBSD az, ahol megcsinaltak ezt (de ott is csak azokon az architekturakon, ahol van igazi PROT_EXEC tamogatas, tehat pl. i386-on nem).

Hmm, lehet, hogy nem libsafe a neve...? Most nem ugrik be. A red hatos Ulrich Drepper-nek volt valami patch-e.

Erre gondolok:

    # cp /usr/bin/ls /tmp
    # /tmp/ls
    /tmp/ls: Permission denied
    # /lib/ld-linux.so.2 /tmp/ls

vs.

    # /lib/ld-linux.so.2 /tmp/ls
    /tmp/ls: error while loading shared libraries: /tmp/ls: failed to map
    segment from shared object: Operation not permitted

"nem tul nehez kijatszani"

Igen, de azt vegyük figyelembe, hogy script kiddiek-ről van szó. Nagy részüknek a 2.6-os Linux kernel "noexec" mountja is feladja a leckét. A 2.4-esé jóval gyengébb volt.

--
trey @ gépház

ja, az nem libsafe, a Drepper bacsi irta par eve azt a kernel patch-et, ami elvileg noexec mountot hivatott csinalni, de szokasos Red Hat modon csak felig sikerult (anno megirtam neki es Linusnak, hogy miert rossz, de nem volt ra erdemi reakcio). tehat amit fent irtal, az ugy igaz, viszont az csak a dolog egyik fele (ja es 2.4-ben is megvan mar egy ideje).

a masik fele meg tenyleg nem nagy ugy, a gyakorlatban EGYETLEN BITET kell modositani a binarisban, es maris megy noexec mount alatt is (legalabbis ahol nincs rendes PROT_EXEC tamogatas, pl. a legtobb i386-on). ha most irok egy par soros progit, ami ezt megteszi es elkuldom bugtraq-re, akkor a script kiddie-knek is trivialis lesz ;-)? amugy meg dailydave-en mar majd 2 eve publikussa valt: http://marc.theaimsgroup.com/?l=dailydave&m=111000644730805&w=2 .

azt hittem, legalabb atlagos a kombinacios keszseged.
tehat: velemenyem szerint a "celkozonseget" (ertsd: ahol a hiba kihasznalhato es egyeb korulmenyek is kedveznek a terjedesnek) tekintve teljesen mindegy, hogy miben irodott, mert nincs lenyeges elteres az okozott kar merteket illetoen (v.o. "balfasz a gyerek, mer' C-be' irta").

Tehát szerinted nincs különbség aközött, hogy egy worm C-ben van írva, csak Linuxra van fordítva (erről szól a cikk), és úgy van eleresztve, és aközött, hogy ugyanaz a worm meg van írva Perl-ben, és akár futhat Linuxon, FreeBSD-n, OpenBSD-n, és bármilyen operációs rendszeren, amin van Perl interpreter, akár még Windowson is...

Érdekes elképzelés.

PS: ne adj a számba olyan szavakat (balfasz a gyerek), amit nem használtam. Azt mondtam lamer és majom.

--
trey @ gépház

Kicsit régiek ezek a Mambo és PHP XML-RPC hibák, nem? Majd egy éves. Aki eddig nem frissített, az ..... így járt ha rátalál a kukac.

Most nem kötekedni akarok, de nem lehetne hasonló helyzetben Erdélyi Gergelyt írni?
Asszem eléggé látszik, hogy magyar névről van szó...

Üdv.: Tamaas

Nem, mert nem tudom, hogy magyar-e. Az, hogy valakinek magyarnak látszó neve van, az nem jelenti azt automatikusan, hogy magyar vagy hogy annak vallja magát. A magyarok szeretnek mindenkiből magyart csinálni. Például Jules Gabriel Verne (Verne Gyula)...

Egyébként neked ez miért fáj?

--
trey @ gépház

Jó, de ezt nekem honnan kellene tudni? :-)

Van a Linux kernel listán egy teljesen magyar nevű tag. Leveleztem vele, majd a negyedik levélváltás után rákérdeztem, hogy mit csinál az Államokban. Azt mondta világ életében ott élt, és azt sem tudja hol van Magyarország. Szóval nem 100% az, hogy ha valahol magyar nevet találsz, akkor mögötte magyar ember van. Sőt, annak idején volt olyan is, aki elment innen, és le is tagadta, hogy magyar. Így jobb az óvatosság. De ha te állítod, hogy magyar, és ez annyira fontos, akkor kijavítom. Bár nem értem, hogy min változtat. Ha az én nevemet leírják angolul, az nekem nem szokott fájni. :-)

--
trey @ gépház

:-)

Valóban szokás volt magyarítani a neveket egy időben, így lett pl. Alexandros makedón uralkodóból Nagy Sándor, vagy ahogy mondtad Verne nevét is lefordították. Ez szerintem is helytelen, nem kell minden nevet magyarítani, ebben igazad van. Nem fogom pl. Bush W. Györgynek írni az adott G.W.Bush nevét.

De a Gergely Erdelyi azért fájhatna (de nem fáj, csak a szépérzékem zavarja ugyanúgy, mint egy helyesírási hiba), mert azért ilyen névvel azért nagy valséggel tényleg magyarról van szó. Ha pl. John Erdelyi lenne, akkor nem kértem volna, hogy fordítsd le Erdélyi Jánosra, bármennyire is magyar a családnév...

Szóval nem fáj, de szerintem így helyesebb, elvégre ha magyarul írunk, akkor ha csak lehet a magyar neveket is írjuk magyarul. De csak a magyar neveket.

Ez szerintem nem elvakult dolog, hanem éppenséggel érthető érv.

Üdv.: Tamaas

hulljon a férgese

>> hogy C helyett biztos, hogy inkább Perl-ben vagy egyéb szkript nyelvben kellett volna megírni
vagy stílszerűen spagettiben :)

Trey semmi gond ha akkarod még ma kezdhetsz :DD.Esetleg Győri Édes ?:D vagy inkább maradsz a Szintézisbe? :D.

"Linuxos szervereket támad meg egy új féreg" ezzel a címmel jelent meg egy másik portálon ugyanez cikk.

--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.

te olvasol proghu-t? mi a turonak?
informaciotartalma kozel nulla, a cikkek stilusa idegesito, raadasul minden kattintasoddal tovabb tamogatod, hogy ezt csinalja.
en minden magyar info linknel ellenorzom nem mutat-e be valamelyik undormany site-ra.:)
ha igen, es eredekel, akkor inkabb elolvasom angolul.

Hmmm...
Én is csak azt tudom kérdezni, hogy ugyanmár miért olvasol olyan oldalt mint a prog.hu/pcforum.hu?
Én nem csak, hogy egy-másfél éve nem olvasom "Sting" kreálmányait, de már az eredeti Sting-et sem hallgatom mert "alias" Sting (vagy aljas Sting? :-) jut eszembe róla.