Worm heeft het op Linux-lek voorzien

[Blue-Sky]

<img src="http://upload.userbase.be/upload/schild_tux_kl.jpg" align="left" width="120" height="100">Lupper, een nieuwe worm, maakt gebruik van kwetsbaarheden in Linux webserversoftware om zich te vermenigvuldigen. Antivirussoftwaremaker McAfee waarschuwde gisteren voor de activiteiten van deze ‘malware’. De worm richt zich op servers waar slechtfunctionerende PHP/CGI-scripts draaien. Lupper is een doorontwikkeling van de Linux/Slapper-worm die in 2002 actief was.


Wanneer de worm een kwetsbaar script ontdekt door het afvuren van corrupte ‘requests’ op poort 80, en op de desbetreffende server de mogelijkheid is geïnstalleerd om externe ‘shell commands’ uit te voeren, installeert zich een kopie in de PHP/CGI omgeving die daar actief wordt. Alle geïnfecteerde computers vormen een wereldwijd netwerk op basis van peer-to-peer-principes dat kan worden ingezet voor denial of service-aanvallen. Symantec noemt de worm overigens Plupii.

Bron: Automatiseringsgids.nl van 08 nov 2005

[netdata]

Ik neem aan dat dit enkel geld als Apache als root laat draaien?

[wem]

Ik neem aan dat dit enkel geld als Apache als root laat draaien?

waarom denk je dit? Als apache als "nobody" draait, kan het nog altijd meedoen aan ddos lijkt me

[Ofloo]

Ik neem aan dat dit enkel geld als Apache als root laat draaien?

waarom denk je dit? Als apache als "nobody" draait, kan het nog altijd meedoen aan ddos lijkt me

normaal wel maar ik denk niet aan syn floods.. anyway snap het antwoord zowiezo niet ik zou geen worm in mijn jail willen !!! of in usermode..

usermode en jail zijn first line of defence ooit gehoord van local exploits?? of combinaties van een remote user exploit .. met local root exploit ?

waarom is command execution exploit in .. windows webserver (iss of iis vergeet het altijd) zo'n probleem denk je

denk maar aan webdav exploit enkele jaren terug dit exploit is remote geworden om deze reden..

vind het eigenlijk eens goed dat ook de aandacht op linux gevestigd word aangezien de meeste linux gebruikers zo'n kleppen op hun oren hebben hangen wanneer aan komt op wormen.. want het is linux en daar kan dit niet bij gebeuren .. naarmate linux populairder word zal dit nog meer gebeuren !!! het heeft gewoon geen zin als een spreader maar een publiek heeft van een paar 100000 gebruikers nu is dit niet meer het geval ! en gaan meer virus schrijvers zich richten op linux haha

zit nu te denken aan al die stijfkoppen in die support rooms die linux verafgoden en zegden dat dergelijke zaken nooit bij linux konden gebeuren.

[NickG]

waarom is command execution exploit in .. windows webserver (iss of iis vergeet het altijd) zo'n probleem denk je

IIS, as in Internet Information Services ! ISS is a spaceship!

[netdata]

Ik neem aan dat dit enkel geld als Apache als root laat draaien?

waarom denk je dit? Als apache als "nobody" draait, kan het nog altijd meedoen aan ddos lijkt me

Omdat hij zelf scripts gaat toevoegen in mijn Apache dir.
Als apache als root draait lijkt dit me erg makkelijk omdat apache dan ook write rechten heeft op die map meestal (/var/www/html/cgi-bin)

Indien je apche als user laat draaien dan heb je enkel read rechten in die map.
Geen extra PHP/CGI scripts instaleren dus...

Of ben ik hier fout...

uiteraard zie ik ook in als je apache de rechten geeft via een mod op wel op die dir te schrijven dat het omzeep is natuurlijk

[Blue-Sky]

waarom is command execution exploit in .. windows webserver (iss of iis vergeet het altijd) zo'n probleem denk je

Volgens google is het dit ofwel bedoelde je deze?

[ban]

Indien je apche als user laat draaien dan heb je enkel read rechten in die map.
Geen extra PHP/CGI scripts instaleren dus...

Of ben ik hier fout...

je bent volledig juist, dit bericht is dan ook complete zever.
en ook nog eens onjuist overgenomen:

Lupper, een nieuwe worm, maakt gebruik van kwetsbaarheden in Linux webserversoftware om zich te vermenigvuldigen.

dit is totaal NIET correct, het gaat hier om achteraf geinstalleerde PHP/CGI scripts die niet juist zijn geconfigureerd, het heeft absoluut niets met linux of zelfs apache te maken.
je kan exact hetzelfde voorhebben op een IIS met bvb een default install van phpBB ofzo. (of een zelf gemaakt scriptje met clear text passwords ofzo)

maw: goeie poging linux door het slijk te halen, maar probeer volgende keer misschien even de feiten te bestuderen voor je achterklap begint te posten.

[crapiecorn]

Ik neem aan dat dit enkel geld als Apache als root laat draaien?

waarom denk je dit? Als apache als "nobody" draait, kan het nog altijd meedoen aan ddos lijkt me

normaal wel maar ik denk niet aan syn floods.. anyway snap het antwoord zowiezo niet ik zou geen worm in mijn jail willen !!! of in usermode..

usermode en jail zijn first line of defence ooit gehoord van local exploits?? of combinaties van een remote user exploit .. met local root exploit ?

waarom is command execution exploit in .. windows webserver (iss of iis vergeet het altijd) zo'n probleem denk je

denk maar aan webdav exploit enkele jaren terug dit exploit is remote geworden om deze reden..

vind het eigenlijk eens goed dat ook de aandacht op linux gevestigd word aangezien de meeste linux gebruikers zo'n kleppen op hun oren hebben hangen wanneer aan komt op wormen.. want het is linux en daar kan dit niet bij gebeuren .. naarmate linux populairder word zal dit nog meer gebeuren !!! het heeft gewoon geen zin als een spreader maar een publiek heeft van een paar 100000 gebruikers nu is dit niet meer het geval ! en gaan meer virus schrijvers zich richten op linux haha

zit nu te denken aan al die stijfkoppen in die support rooms die linux verafgoden en zegden dat dergelijke zaken nooit bij linux konden gebeuren.

ik word, linux wordt, ...

[Styno]

Het is inderdaad zo dat het gaat om hosted cgi/php scripts, niet om de webserver of os software zelf.
Langs de andere kant is het wel geschreven met linux besmetting in mind.

Het zal wel zo een vaart niet lopen:

Code: Selecteer alles

The worm blindly attacks web servers by sending malicious http requests on port 80. If the target server is running one of the vulnerable scripts at specific URLs and is configured to permit external shell commands and remote file download in the PHP/CGI environment, a copy of the worm could be downloaded and executed.

Newsflash:

Code: Selecteer alles

Als ik met een blinddoek naar een stoplicht loop dat toevallig op rood staat en er komen auto's aan en ik steek over....  Dan kan ik een groot probleem hebben....

[Blue-Sky]

dit is totaal NIET correct, het gaat hier om achteraf geinstalleerde PHP/CGI scripts die niet juist zijn geconfigureerd, het heeft absoluut niets met linux of zelfs apache te maken.

Dat kon je in een link in de start van dit topic al lezen.

This worm spreads by exploiting web servers hosting vulnerable PHP/CGI scripts

maw: goeie poging linux door het slijk te halen, maar probeer volgende keer misschien even de feiten te bestuderen voor je achterklap begint te posten.

Zet je aanval in tegen de website welke dat verspreid heeft. Automatiseringsgids.nl

Zoniet moet men volgens je redenering niets meer posten wat elders op het web te lezen is.

[netdata]

hihi linux wins again

Nu is het wel zo dat een Linux met apche in een distro
hier draait de apache default als root

niet erg slim dus vind ik persoonlijk, mja makkelijk te verzetten naar een user...

[Styno]

LIES !!

[root@fragment ~]# ps -ef |grep httpd | grep -v grep
root 1872 1 0 Oct31 ? 00:00:00 /usr/sbin/httpd
apache 15125 1872 0 Nov06 ? 00:00:00 /usr/sbin/httpd
apache 15126 1872 0 Nov06 ? 00:00:00 /usr/sbin/httpd
apache 15127 1872 0 Nov06 ? 00:00:00 /usr/sbin/httpd
apache 15128 1872 0 Nov06 ? 00:00:00 /usr/sbin/httpd
apache 15129 1872 0 Nov06 ? 00:00:00 /usr/sbin/httpd
apache 15130 1872 0 Nov06 ? 00:00:00 /usr/sbin/httpd
apache 15131 1872 0 Nov06 ? 00:00:00 /usr/sbin/httpd
apache 15132 1872 0 Nov06 ? 00:00:00 /usr/sbin/httpd
apache 1452 1872 0 Nov07 ? 00:00:00 /usr/sbin/httpd
[root@fragment ~]#

Zoals je ziet draait het parentproces als root, maar de processen die met de 'buitenwereld' in contact komen switchen mooi naar de apache user.

Maar zoals eerder terecht gezegd, er zal een van deze dagen wel eens iets 'zwaarder' uitkomen. Wat dan vooral een rol zal spelen is de reactiesnelheid van het uitkomen en aanbrengen van de patches.

Als je bv. de output van een IDS bekijkt dan zie je dat de meest voorkomende trigger nog steeds die mssql worm is. Er zijn dus nog steeds servers die niet gepatched zijn...

[deej]

Als je bv. de output van een IDS bekijkt dan zie je dat de meest voorkomende trigger nog steeds die mssql worm is. Er zijn dus nog steeds servers die niet gepatched zijn...

Niet alleen servers die ongepatched zijn, ook vele vulnerability scanners poken eerst op dit "gat".

Apache loopt zowiezo altijd als user apache. Wil je hem helemaal beveiligen moet je hem chrooten. En zelfs dat is niet volledig waterdicht. Liefst draai je hem in een virtuele sessie, kwestie van het onderliggend OS niet te beïnvloeden.

[netdata]

Als je bv. de output van een IDS bekijkt dan zie je dat de meest voorkomende trigger nog steeds die mssql worm is. Er zijn dus nog steeds servers die niet gepatched zijn...

Niet alleen servers die ongepatched zijn, ook vele vulnerability scanners poken eerst op dit "gat".

Apache loopt zowiezo altijd als user apache. Wil je hem helemaal beveiligen moet je hem chrooten. En zelfs dat is niet volledig waterdicht. Liefst draai je hem in een virtuele sessie, kwestie van het onderliggend OS niet te beïnvloeden.

ma als ge hem gaat chrooten dan moete toch al vree lelijk doen wilde nog root toegang krijgen op het OS za

wa ik touwens ook altijd doe is apache modules eruit smijten die ge nie nodig hebt.

[henke54]

ne verse PHP worm :

Linux.Mare is a worm that spreads by exploiting the PHP-Nuke "phpbb_root_path" Arbitrary File Inclusion vulnerability. The worm opens a back door and downloads and executes remote files on the compromised computer

http://ubuntuforums.org/showthread.php?t=107883

[Ubremoved_2106]

Hmm, weer een PHP lek...
Heb eens gezien dat python veiliger zou zijn (beweren ze)
maarjah, hangt natuurlijk af hoe je de server/script instelt (rights enzo)
bv eens de recommendations lezen op http://securityresponse.symantec.com/av ... .mare.html

[meon]

Het lek is geen PHP-lek, noch eentje van phpBB, maar eentje van PHP-Nuke, een content management system.

Niet te snel panikeren

[Ubremoved_2106]

AH, oei ... niet tegoei gekeken denk ik

[netdata]

Bwa php exploits komen wel vaker voor, maar als je leest hoe simpel de exploid werkt, gewoon 2 IP's bannen in de firewall.

En daarbij als je de config van PHP deftig doet en een goed security model hebt is er niet echt veel gevaar voor het systeem...

[deej]

En daarbij als je de config van PHP deftig doet en een goed security model hebt is er niet echt veel gevaar voor het systeem...

Daar knelt nu net het schoentje voor vele PHP Nuke gebruikers .

[netdata]

En daarbij als je de config van PHP deftig doet en een goed security model hebt is er niet echt veel gevaar voor het systeem...

Daar knelt nu net het schoentje voor vele PHP Nuke gebruikers .

Ja das natuurlijk ook waar...
Anderzijds de standaard config van PHP op bijvb fedora core 3 of 4 is al redelijk veilig alsook de security van apache...

Het blijft een exploit van een applicatie, niet van LINUX of UNIX...

[deej]

Ja das natuurlijk ook waar...
Anderzijds de standaard config van PHP op bijvb fedora core 3 of 4 is al redelijk veilig alsook de security van apache...

Het blijft een exploit van een applicatie, niet van LINUX of UNIX...

En dat is de volgende lading van attacks die op ons afkomt. Netwerken en systemen gaan veiliger en veiliger worden maar de applicaties er boven op worden de targets.