Linux bersaglio di un worm buca-PHP

Un worm cerca di propagarsi in rete sfruttando una vulnerabilitÓ del famoso linguaggio di scripting open source. GiÓ avvistata una variante con altri due exploit

Roma - Negli scorsi giorni Ŕ stato identificato un worm per Linux, battezzato Lupper, capace di sfruttare una recente vulnerabilitÓ di PHP. Il vermicello fa leva sulla falla XML-RPC, contenuta in alcune librerie del noto linguaggio di scripting open source, per compromettere i server web su cui gira Linux e installarvi delle backdoor.

McAfee spiega in questo advisory che Lupper Ŕ una versione modificata di Slapper, uno dei rari worm per Linux ad essersi guadagnato una certa notorietÓ. Ma, a differenza del suo illustre predecessore, Lupper non sembra particolarmente pericoloso: il vermicello Ŕ infatti in grado di penetrare, attraverso la porta 80, solo sui server configurati per consentire l'esecuzione di comandi di shell dall'esterno e il download di file da remoto nell'ambiente PHP/CGI. Va poi aggiunto che la vulnerabilitÓ XML-RPC, che ha interessato applicazioni come PostNuke, Drupal, b2evolution, Xoops, WordPress, PHPGroupWare e TikiWiki, Ŕ stata corretta all'inizio dell'estate.

Lupper installa sui computer compromessi alcune backdoor e un cavallo di Troia capace di comunicare, in modalitÓ peer-to-peer, con gli altri sistemi infetti. Un tale network pu˛ essere utilizzato per lanciare attacchi di tipo Distributed Denial of Service (DDoS) o per raccogliere indirizzi e-mail da utilizzare per l'invio di spam.
Di Lupper esiste giÓ una variante, chiamata Lupper.B o Plupii, che opera in modo simile al worm originale ma, in pi¨, Ŕ in grado di sfruttare una vulnerabilitÓ nei programmi AWStats e Webhints.

Una descrizione tecnica di entrambi i worm Ŕ stata pubblicata qui dall'Internet Storm Centre del SANS Institute.
TAG: linux
171 Commenti alla Notizia Linux bersaglio di un worm buca-PHP
Ordina

  • il worm lupper è in formato binario ELF cioè per Unix/Linux e quindi Windows non è in grado di eseguirlo. Noi osserviamo di brutto.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > il worm lupper è in formato binario ELF cioè per
    > Unix/Linux e quindi Windows non è in grado di
    > eseguirlo. Noi osserviamo di brutto.

    Ecco si, appunto. Osservaci dall'alto della tua montagna di schifezware che prolificano nelle purulente falle perennemente aperte di quell'accozzagliaware lucciante e colorata che ti ostini a chiamare sistema operativo.
    Noi da qua sotto continueremo a ridere pensando a quelli come te che si consolano con queste notizie di falsi virus, che sfruttano falle corrette e tappate mesi prima, su una piattaforma che per sua natura offre un ambiente talmente ostile a questo tipo di attacchi che a memoria di essere umano, non si ricorda nulla di paragonabile ai vari Nimda, CodeRed, e compagnia bella, ne mai se ne avrà notizia.
    Osserva, osserva, noi invece si ride a crepapelle.
    non+autenticato

  • - Scritto da: Anonimo
    > Linari che negano che è worm per linux
    > 1) http://tinyurl.com/bshyg
    > 2) http://tinyurl.com/98qjb
    > come sono patetici...

    già.
    il worm lupper è in formato binario ELF cioè per Unix/Linux e quindi Windows non è in grado di eseguirlo. Noi osserviamo di brutto.
    non+autenticato
  • Evidentemente non si lascia sfuggire neanche una occasione, trovato il baco e PAM ! ecco il worm!

    E poi scusate ma permettere l'esecuzione di comandi shell dall'esterno senza specificare l'unico ip valido (il primo che mi nomina session hijacking lo derido) e' una furbata mica da ridere sui webserver , onore alla sicurezza eh !
    non+autenticato

  • - Scritto da: Anonimo
    > Evidentemente non si lascia sfuggire neanche una
    > occasione, trovato il baco e PAM ! ecco il worm!

    davvero, ma hanno un generatore automatico? la prontezza di riflessi è la loro ragione di vitaA bocca aperta

    > E poi scusate ma permettere l'esecuzione di
    > comandi shell dall'esterno senza specificare
    > l'unico ip valido (il primo che mi nomina session
    > hijacking lo derido) e' una furbata mica da
    > ridere sui webserver , onore alla sicurezza eh !

    beh, poverino, ha una certificazione Microsoft, non pretendere troppoCon la lingua fuori

    è gia tanto che non abbia lasciato aperto TelnetA bocca aperta
    non+autenticato


  • ==================================
    Modificato dall'autore il 08/11/2005 20.35.02
    opazz
    8666
  • La differenza di approccio al bug e' differente fra i mondi open-source e quelli di aziende enormi come MS:

    le falle non vengono scoperte dai virus writer, le falle vengono scoperte da piu' categorie di tecnici, quindi questi tecnici in genere postano su vari siti di sicurezza e mailing list il bug scoperto, gli sviluppatori php e i virus writer leggono del bug, e a seconda dei casi correggono il bug o scrivono il virus.
    La differenza sta nel fatto che il pachiderma MS ha perso i contatti con la realta' degli sviluppatori ad alto livello che sono in grado di riconoscere bug, quindi corregge un bug dopo moltissimo tempo.
    Ora non venitemi a parlare di MSDN, quella e' una rete commerciale per sviluppatori, ma MSDN non fa diventare superesperti, ne permette lo stretto contatto che c'e' fra i programmatori e gli sviluppatori php per esempio.
    non+autenticato

  • - Scritto da: Anonimo
    > La differenza di approccio al bug e' differente
    > fra i mondi open-source e quelli di aziende
    > enormi come MS:
    >
    > le falle non vengono scoperte dai virus writer,
    > le falle vengono scoperte da piu' categorie di
    > tecnici, quindi questi tecnici in genere postano
    > su vari siti di sicurezza e mailing list il bug
    > scoperto, gli sviluppatori php e i virus writer
    > leggono del bug, e a seconda dei casi correggono
    > il bug o scrivono il virus.

    La differenza è questa:
    Open source: falle scoperte vengono pubblicate sui siti di sicurezza solo dopo che vengono patchate
    Closed source: falle scoperte vengono pubblicate subito sui siti di sicurezza perchè tanto senza i dettagli non è possibile scrivere un exploit
    Ecco perchè sembra che Microsoft ci metta così tanto tempo a rilasciare le patch.
    non+autenticato
  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > La differenza di approccio al bug e' differente
    > > fra i mondi open-source e quelli di aziende
    > > enormi come MS:

    > > le falle non vengono scoperte dai virus writer,
    > > le falle vengono scoperte da piu' categorie di
    > > tecnici, quindi questi tecnici in genere postano
    > > su vari siti di sicurezza e mailing list il bug
    > > scoperto, gli sviluppatori php e i virus writer
    > > leggono del bug, e a seconda dei casi correggono
    > > il bug o scrivono il virus.

    > La differenza è questa:
    > Open source: falle scoperte vengono pubblicate
    > sui siti di sicurezza solo dopo che vengono
    > patchate
    > Closed source: falle scoperte vengono pubblicate
    > subito sui siti di sicurezza perchè tanto senza i
    > dettagli non è possibile scrivere un exploit
    > Ecco perchè sembra che Microsoft ci metta così
    > tanto tempo a rilasciare le patch.

    Sai avendo i sorgenti e' facile che la stessa persona che e' in grado di "definire" un bug, nel senso che ha un livello di conoscienza tale da capire a fondo il problema, si metta a scrivere la patch e la spedisca in contemporanea la segnalazione al sito che segnala i bug e la patch a quello che rilascia le patch...
    Col il software closed questo e' piuà difficile.
    non+autenticato

  • - Scritto da: Anonimo
    > Sai avendo i sorgenti e' facile che la stessa
    > persona che e' in grado di "definire" un bug, nel
    > senso che ha un livello di conoscienza tale da
    > capire a fondo il problema, si metta a scrivere
    > la patch e la spedisca in contemporanea la
    > segnalazione al sito che segnala i bug e la patch
    > a quello che rilascia le patch...
    > Col il software closed questo e' piuà difficile.

    ma la tempestività nel software closed non è la cosa primaria dato che senza i sorgenti è molto più difficile trovare le falle
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Sai avendo i sorgenti e' facile che la stessa
    > > persona che e' in grado di "definire" un bug,
    > nel
    > > senso che ha un livello di conoscienza tale da
    > > capire a fondo il problema, si metta a scrivere
    > > la patch e la spedisca in contemporanea la
    > > segnalazione al sito che segnala i bug e la
    > patch
    > > a quello che rilascia le patch...
    > > Col il software closed questo e' piuà difficile.
    >
    > ma la tempestività nel software closed non è la
    > cosa primaria dato che senza i sorgenti è molto
    > più difficile trovare le falle


    oppure è molto più difficile che VENGANO fatte sapereA bocca aperta
    non+autenticato
  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > Sai avendo i sorgenti e' facile che la stessa
    > > persona che e' in grado di "definire" un bug,
    > > nel senso che ha un livello di conoscienza tale
    > > da capire a fondo il problema, si metta a scrivere
    > > la patch e la spedisca in contemporanea la
    > > segnalazione al sito che segnala i bug e la
    > > patch a quello che rilascia le patch...
    > > Col il software closed questo e' piu' difficile.

    > ma la tempestività nel software closed non è la
    > cosa primaria dato che senza i sorgenti è molto
    > più difficile trovare le falle

    No, infatti le falle si cercano agendo sull'eseguibile, mica sul sorgente !! Trovala tu una falla in centinaia di righe di sorgente senza sapere cosa cercare.
    Nel momento in cui l'avessi trovara si puo' andare a cercare il problema sul sorgente, ma riguardo all'acking non vedo a cosa possa servire sapere cosa fa il programma in quel punto, anche perche' in caso del piu' classico buffer overfaw il programma a quel punto e' gia' crashato.
    non+autenticato

  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > - Scritto da: Anonimo
    > > > Sai avendo i sorgenti e' facile che la stessa
    > > > persona che e' in grado di "definire" un bug,
    > > > nel senso che ha un livello di conoscienza
    > tale
    > > > da capire a fondo il problema, si metta a
    > scrivere
    > > > la patch e la spedisca in contemporanea la
    > > > segnalazione al sito che segnala i bug e la
    > > > patch a quello che rilascia le patch...
    > > > Col il software closed questo e' piu'
    > difficile.
    >
    > > ma la tempestività nel software closed non è la
    > > cosa primaria dato che senza i sorgenti è molto
    > > più difficile trovare le falle
    >
    > No, infatti le falle si cercano agendo
    > sull'eseguibile, mica sul sorgente !!

    vero al 90%

    > Trovala tu
    > una falla in centinaia di righe di sorgente senza
    > sapere cosa cercare.

    allora che rompete a fare che si trovano prima perchè è open?
    so benissimo cosa cercare 'buffer overflow'

    > Nel momento in cui l'avessi trovara si puo'
    > andare a cercare il problema sul sorgente, ma
    > riguardo all'acking non vedo a cosa possa servire
    > sapere cosa fa il programma in quel punto,

    a niente guarda........solo a sapere ad esempio come valida l'input per cercare buffer overflow

    > anche
    > perche' in caso del piu' classico buffer overfaw

    e che sono?
    non sai neanche come si scrive e ti riempi la bocca

    > il programma a quel punto e' gia' crashato.

    beata ignoranza.......il programma magari è crashato (mica detto) ma prima ha lasciato codice in memoria e lo ha eseguito
    non+autenticato

  • - Scritto da: Anonimo
    > No, infatti le falle si cercano agendo
    > sull'eseguibile, mica sul sorgente !! Trovala tu
    > una falla in centinaia di righe di sorgente senza
    > sapere cosa cercare.

    Evita di dire fregnacce perchè
    le centinaia di righe di sorgente si traducono in milioni e milioni di righe di codice macchina che dovresti spulciare dall'eseguibile.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)