Linuxos féreg támadja a Mambo motorral hajtott portálokat

 ( trey | 2006. február 21., kedd - 0:29 )

Biztonsági szakértők figyelmeztetnek arra, hogy egy C-ben írt linuxos worm támadja a Mambo portál engine és a PHP XML-RPC hibáit.

A Mare.D névre hallgató worm többszörös backdoor-t hagy maga után. A worm nagy részét C-ben írták, és gcc-vel fordították. - mondta Erdélyi Gergely az F-Secure kutatója.

A cikk itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

trey mester, kerem kommentalja...

Mit? Nem használok szerveren Linuxot. Desktop gépemen se PHP, se Mambo-t, se XML-RPC-t. :-D

Kommentálni max. azt tudom, hogy C helyett biztos, hogy inkább Perl-ben vagy egyéb szkript nyelvben kellett volna megírni, mert akkor nagy eséllyel működne több rendszeren. De a lame lelkem C-ben írta. Ügyes volt. :-))

--
trey @ gépház

Már megint hazudsz, azt ugye tudod? ;)))))

A féreg a Mambót támadja. A Mambo Linuxon fut. Tehát a Linux szaaaaar! QED. :))))))

;-(

:-DD

--
trey @ gépház

És ha - atyavilág! - ez a Mambo egy Makkosiksz szerveren fut, akkor, akkor az azt jelenti - gasp! -, hogy az OS X szar?! :)))

Nem, mert C-ben írta a majom, és ez ott nem fog működni. Csak akko', ha lefordítja arra is. Pont ezért nem fog futni FreeBSD-n, OpenBSD-, meg a többi máson se. Ezért írtam, hogy nagyobb károkozásra lenne képes szerintem, ha valami gyakran használt szkriptben írta volna.

Újabban a Perl a divat...

:-)

--
trey @ gépház

erdekes modon a morris worm is kepes volt terjedni annak idejen mindenfele unixon, pedig a "lamer allatja" nem spagettiszarban irta, hanem c-ben. persze ez ne'mi trukkozest es a hoston torteno forditast jelent, de ettol fuggetlenul meg mukodhet.

Még ha le is fordítja...

Javíts ki ha tévednék... A perl szkript lefut noexec /tmp (ahova az ilyeneket a PHP esetén szemetelni szokták) esetén is, mivel nem a szkript fut, hanem maga a perl. Ugyanez C-ből fordított bináris esetén mondjuk libsafe esetén nem játszik? Hm?

--
trey @ gépház

noexec-el mountolt particiorol valoban nem fog futni a binaris, amennyiben az adott OS-nel ez a funkcio tisztessegesen implementalt (linux eseten jo sokaig siman felul lehetett biralni ezt a viselkedest).
viszont, ezen a vonalon tovabbmenve, megfeleloen ACL-ezett rendszeren a perl scriptet se fogod futtatni, akar noexec a particio, ahova tudsz irni, akar nem. persze ilyenkor a forditot se igen tudod meghivni, mar ha van egyaltalan.

egyebkent szerintem azon rendszerek donto tobbsegen, ahol ez a hiba kihasznalhato, se noexec-es /tmp, se ACL nincs.

a libsafe hogy jon a kepbe?

De a legtöbbön fordító se biztos, hogy van. Perl meg az esetek nagy részében van (Linuxnál talán nincs is olyan disztró, amiben ne lenne benne).

--
trey @ gépház

ha ugyanarra a libsafe-re gondolunk, akkor annak nincs koze a noexec mounthoz. a noexec mount linux alatt amugy is benan van megcsinalva (mi nem ;P), nem tul nehez kijatszani (pl. i386 trivialis, az ELF program headers-bol ki kell szedni a PF_X biteket, ettol mar atmegy a noexec ellenorzesen viszont tovabbra is vegrehajthato marad a kod).

az athekkelt header miatt (nem futtathatonak jelolt szegmens, de megis futni akar) a pax kigyilkolja?

ja, azt nem mondtam, hogy PaX alatt persze rendesen mukodik a noexec, se PF_X kiszedese, se a trukkosebb 'ramap-pelek a stack-re es egy ret2libc-vel raveszem az ld.so-t, hogy csinaljon egy mprotect(PROT_EXEC)-t' nem mukodik. ha jol emlekszem, akkor meg a NetBSD az, ahol megcsinaltak ezt (de ott is csak azokon az architekturakon, ahol van igazi PROT_EXEC tamogatas, tehat pl. i386-on nem).

Hmm, lehet, hogy nem libsafe a neve...? Most nem ugrik be. A red hatos Ulrich Drepper-nek volt valami patch-e.

Erre gondolok:

    # cp /usr/bin/ls /tmp
    # /tmp/ls
    /tmp/ls: Permission denied
    # /lib/ld-linux.so.2 /tmp/ls

vs.

    # /lib/ld-linux.so.2 /tmp/ls
    /tmp/ls: error while loading shared libraries: /tmp/ls: failed to map
    segment from shared object: Operation not permitted

"nem tul nehez kijatszani"

Igen, de azt vegyük figyelembe, hogy script kiddiek-ről van szó. Nagy részüknek a 2.6-os Linux kernel "noexec" mountja is feladja a leckét. A 2.4-esé jóval gyengébb volt.

--
trey @ gépház

emlekeim szerint 2.4-be backportoltak a drepper-fele noexec fixet annak idejen

ja, az nem libsafe, a Drepper bacsi irta par eve azt a kernel patch-et, ami elvileg noexec mountot hivatott csinalni, de szokasos Red Hat modon csak felig sikerult (anno megirtam neki es Linusnak, hogy miert rossz, de nem volt ra erdemi reakcio). tehat amit fent irtal, az ugy igaz, viszont az csak a dolog egyik fele (ja es 2.4-ben is megvan mar egy ideje).

a masik fele meg tenyleg nem nagy ugy, a gyakorlatban EGYETLEN BITET kell modositani a binarisban, es maris megy noexec mount alatt is (legalabbis ahol nincs rendes PROT_EXEC tamogatas, pl. a legtobb i386-on). ha most irok egy par soros progit, ami ezt megteszi es elkuldom bugtraq-re, akkor a script kiddie-knek is trivialis lesz ;-)? amugy meg dailydave-en mar majd 2 eve publikussa valt: http://marc.theaimsgroup.com/?l=dailydave&m=111000644730805&w=2 .

"ha most irok egy par soros progit, ami ezt megteszi es elkuldom bugtraq-re, akkor a script kiddie-knek is trivialis lesz ;-)"

Abban az esetben, ha olyan programot írsz ami így működik:

./mambonuke <target>

:-D

--
trey @ gépház

ha jol remlik, a thread eredetileg egy wormrol szolt, es hogy szerinted miert volt luzer a szerzoje.

Igen, amit továbbra is fenntartok, hogy ha szkriptben írta volna, akkor nagyobb esélye lenne rá, hogy nagyobb kárt csináljon. Szerinted nem?

--
trey @ gépház

leirtam.

Ez nem volt válasz a kérdésre.

--
trey @ gépház

azt hittem, legalabb atlagos a kombinacios keszseged.
tehat: velemenyem szerint a "celkozonseget" (ertsd: ahol a hiba kihasznalhato es egyeb korulmenyek is kedveznek a terjedesnek) tekintve teljesen mindegy, hogy miben irodott, mert nincs lenyeges elteres az okozott kar merteket illetoen (v.o. "balfasz a gyerek, mer' C-be' irta").

Tehát szerinted nincs különbség aközött, hogy egy worm C-ben van írva, csak Linuxra van fordítva (erről szól a cikk), és úgy van eleresztve, és aközött, hogy ugyanaz a worm meg van írva Perl-ben, és akár futhat Linuxon, FreeBSD-n, OpenBSD-n, és bármilyen operációs rendszeren, amin van Perl interpreter, akár még Windowson is...

Érdekes elképzelés.

PS: ne adj a számba olyan szavakat (balfasz a gyerek), amit nem használtam. Azt mondtam lamer és majom.

--
trey @ gépház

talan ennyit arrol, hogy ki ad szavakat kinek a szajaba. :-)

a linux szervereket kivaltottad a tobbszaz jogtiszta windowsos botnettel?

Humm, nemtom' miről beszélsz, a saját internetes szervereim évek óta FreeBSD-t futtatnak. Előtte meg Solarist futtattak.

(gyors volt az anyag?)

--
trey @ gépház

Mostmar hobbi celokra sem jo a linux? Pedig eddig folyamatosan a linux-security-enterspajz-kox-roi(-xtc-thc-lsd) eljenzes ment. ;)

A Linuxszal nincs semmi baj. Én ettől még most is azt mondom, amit évek óta (keress az archívumban). Mindent a maga helyére ;-)

--
trey @ gépház

Linuxot a kávédarálóba, pc-t a kukába? :-D

--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.

"Tiszta vizet a pohárba, igazgatót a mocsárba!" :))

Kicsit régiek ezek a Mambo és PHP XML-RPC hibák, nem? Majd egy éves. Aki eddig nem frissített, az ..... így járt ha rátalál a kukac.

valoban eleg regi..
es a hibajavitas egyszeru mint a pofon
kiadtak rola egy doksit hogy hogyan lehet egyszeruen..
sot mar hupon is volt korabban :)
itt >> http://hup.hu/node/10465

es itt a "gyorsjavitas" mukodik ..
aki meg annyit nem kepes megtenni a szervereert annak pedig ugy kell ..

Most nem kötekedni akarok, de nem lehetne hasonló helyzetben Erdélyi Gergelyt írni?
Asszem eléggé látszik, hogy magyar névről van szó...

Üdv.: Tamaas

Nem, mert nem tudom, hogy magyar-e. Az, hogy valakinek magyarnak látszó neve van, az nem jelenti azt automatikusan, hogy magyar vagy hogy annak vallja magát. A magyarok szeretnek mindenkiből magyart csinálni. Például Jules Gabriel Verne (Verne Gyula)...

Egyébként neked ez miért fáj?

--
trey @ gépház

Szerintem a volt munkatársamról van szó, aki épp az F-Secure-hoz ment ki dolgozni, akkor viszont magyar. Persze az is lehet, hogy nem, de akkor minimum két Erdélyi Gergely dolgozik ott :)

Jó, de ezt nekem honnan kellene tudni? :-)

Van a Linux kernel listán egy teljesen magyar nevű tag. Leveleztem vele, majd a negyedik levélváltás után rákérdeztem, hogy mit csinál az Államokban. Azt mondta világ életében ott élt, és azt sem tudja hol van Magyarország. Szóval nem 100% az, hogy ha valahol magyar nevet találsz, akkor mögötte magyar ember van. Sőt, annak idején volt olyan is, aki elment innen, és le is tagadta, hogy magyar. Így jobb az óvatosság. De ha te állítod, hogy magyar, és ez annyira fontos, akkor kijavítom. Bár nem értem, hogy min változtat. Ha az én nevemet leírják angolul, az nekem nem szokott fájni. :-)

--
trey @ gépház

1: nem mondtam, hogy tudnod kéne
2: én nem ragaszkodom hozzá, hogy kijavítsd, ő meg már szerintem hozzászokott :)

Trey hogy van angolul?

He's fine, thanks. :)

Erdélyi Gergely aka Dyce 6-7 éve tiplizett a finnekhez.

:-)

Valóban szokás volt magyarítani a neveket egy időben, így lett pl. Alexandros makedón uralkodóból Nagy Sándor, vagy ahogy mondtad Verne nevét is lefordították. Ez szerintem is helytelen, nem kell minden nevet magyarítani, ebben igazad van. Nem fogom pl. Bush W. Györgynek írni az adott G.W.Bush nevét.

De a Gergely Erdelyi azért fájhatna (de nem fáj, csak a szépérzékem zavarja ugyanúgy, mint egy helyesírási hiba), mert azért ilyen névvel azért nagy valséggel tényleg magyarról van szó. Ha pl. John Erdelyi lenne, akkor nem kértem volna, hogy fordítsd le Erdélyi Jánosra, bármennyire is magyar a családnév...

Szóval nem fáj, de szerintem így helyesebb, elvégre ha magyarul írunk, akkor ha csak lehet a magyar neveket is írjuk magyarul. De csak a magyar neveket.

Ez szerintem nem elvakult dolog, hanem éppenséggel érthető érv.

Üdv.: Tamaas

Ok, legközelebb magyarul írom. De ha valaki reklamál, akkor megmondom, hogy te mondtad :-D

--
trey @ gépház

hulljon a férgese

>> hogy C helyett biztos, hogy inkább Perl-ben vagy egyéb szkript nyelvben kellett volna megírni
vagy stílszerűen spagettiben :)

Ez a spagetti az én szövegem. :-)

--
trey @ gépház

oh. de te is A Web Visual Basicjére használod?

Nem. Én nem tudok programozni.

--
trey @ gépház

ez ne keserítsen el, ettől még sikeres php fejlesztő lehetsz :)

Nem keserít el. Egy dolgot nem csinálnék életemben, az a programozás. Untat. Ha biorobot akarnék lenni, elmennék a győri kekszgyárba a szalag mellé babapiskótát rakodni. :-)

--
trey @ gépház

Ne keseredj el ettol meg nyugottan fikazhatod a programozokat (is) :-) A rendszergazdak ugyis beloluk elnek

Akkor a júzereket is fikázhatjuk, elég "jól" hoznak a konyhára ;-)

--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.

errol az jut eszembe, hogy sok az eszkimo keves a foka. a nezopont tetszoleges:

eszkimo: rendszergazda/juzer
foka: programozo /rendszergazda

most velemenyem szerint az eszkimok fognak csokkenni, sajnos barmelyik aspektusbol nezve is igaz

Ezt a VB-t ne is emlegessétek! Még most is fáj amit a KIR.hu-nevű hányadékon összetákoltak a fent említettben..grr!

Trey semmi gond ha akkarod még ma kezdhetsz :DD.Esetleg Győri Édes ?:D vagy inkább maradsz a Szintézisbe? :D.

Hehe, voltam már ott nem is egyszer dolgozni az általános iskolából "termelési gyakorlat" címszóval. Éppen a piskóta soron, de néha felnéztünk az export osztályra is. Ott valamiért jobb dolgok voltak :-D

--
trey @ gépház

És most akkor onnét fogod igazgatni a portált? :-D

--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.

"Linuxos szervereket támad meg egy új féreg" ezzel a címmel jelent meg egy másik portálon ugyanez cikk.

--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.

És persze a prog.hu megint lereagálta...
Linuxos szervereket támad meg egy új féreg
Komolyan nem tudom, mit gondoljak ilyenkor...

azért öngyi ne légy... ;P

te olvasol proghu-t? mi a turonak?
informaciotartalma kozel nulla, a cikkek stilusa idegesito, raadasul minden kattintasoddal tovabb tamogatod, hogy ezt csinalja.
en minden magyar info linknel ellenorzom nem mutat-e be valamelyik undormany site-ra.:)
ha igen, es eredekel, akkor inkabb elolvasom angolul.

Hmmm...
Én is csak azt tudom kérdezni, hogy ugyanmár miért olvasol olyan oldalt mint a prog.hu/pcforum.hu?
Én nem csak, hogy egy-másfél éve nem olvasom "Sting" kreálmányait, de már az eredeti Sting-et sem hallgatom mert "alias" Sting (vagy aljas Sting? :-) jut eszembe róla.