The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Нашествие Apache worm (Scalper.Worm)

08.07.2002 17:33

Первенцем среди червей использующих "сhunk-encoding" переполнение буфера в Apache (FreeBSD.Scalper.Worm) уже поставлены в затруднительное положение многие российские провайдеры. Червь расползается с поразительной быстротой, несмотря на то, что воздействию его подвержены только FreeBSD 4.x с версией apache младше 1.3.26 (прогнозируют скорый выход аналога для Linux). В то время, как apache на серверах большинства ISP был обновлен еще в впервые дни обнаружения ошибки, проблему представляют клиенты и забытые под "столом" сервера, не первый год работающие в автономном режиме.

Буквально через несколько минут после активации червя, канал пользователя оказывается загруженным практически на 100%.

В /tmp червь создает файл .uua, затем из него формируется, через uudecode, файл /tmp/.a, после активации которого (можно обнаружить по ps -auxwww|grep '.a', запущен под uid как и apache) производится хаотичное сканирование сетей для дальнейшего распространения (зафиксировано до 100000 запросов в 5 мин, что приводит к DoS атаке). Червь предполагает возможность удаленного управления (используется udp port 2001), можно удаленно получить доступ к системным файлам, запускать и закачивать файлы, производить рассылку на email и флуд определенных адресов.

  1. Главная ссылка к новости (http://news.com.com/2100-1001-...)
  2. How the Apache worm could have been prevented
  3. Few signs of life in Apache worm
  4. Описание работы и исходные тексты apache-worm
  5. OpenNews: Как работает chunked encoding exploit для Apache
  6. Червь Scalper использует бреши в популярном web сервере "Apache"
Лицензия: CC-BY
Короткая ссылка: https://opennet.ru/1322-linux
Ключевые слова: linux, freebsd, port, x, udp, grep, apache, mail, buffer, encoding, aux, dos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, le Forestier (?), 17:09, 09/07/2002 [ответить]  
  • +/
    непонятно - эта штука работает на Russian Apache?
     
     
  • 2.2, uldus (?), 17:10, 09/07/2002 [^] [^^] [^^^] [ответить]  
  • +/
    >непонятно - эта штука работает на Russian Apache?

    В зависимости от настроек русского апача.

     

  • 1.3, Аноним (3), 20:04, 11/07/2002 [ответить]  
  • +/
    A если /tmp монтировать с флагом 'noexec' ?
    Судя по описанию он распаковывается и запускается из /tmp.
     
  • 1.4, Онаним (?), 23:38, 14/07/2002 [ответить]  
  • +/
    А вычищают его, не дай никто, чем?
     
     
  • 2.5, uldus (?), 10:38, 15/07/2002 [^] [^^] [^^^] [ответить]  
  • +/
    >А вычищают его, не дай никто, чем?

    Почистить машину от червя можно через "rm -f /tmp/.a"

     

  • 1.6, Аноним (3), 12:09, 29/07/2002 [ответить]  
  • +/
    Hi, All !
    subj ?
    А то информация приведена, скзано даже, что почти
    все уже пропатчились, а где он, патч-спаситель...
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру