|
|
Un gusano ataca máquinas linux (Apache/SSL)
(15723 lectures)
Por Carlos Cortes Cortes
carcoco
(http://bulma.net/~carcoco/)
Creado el 20/09/2002 10:46 modificado el 20/09/2002 10:46
|
En los últimos días se ha propagado un gusano a través de máquinas linux (NO actualizadas), debido a un problema en la implementación SSL del paquete OpenSSL, que afecta entre otros, al servidor web más utilizado en Internet; Apache, concretamente al modulo mod_ssl. Hay referencias al gusano con estos nombres: Apache/mod_ssl worm, linux.slapper.worm, bugtraq.c worm, Modap worm, Linux.Slapper-A y Slapper.source ...
|
Pagina1/1 |
Con este lio de nombres, no es de extrañar que exista cierta confusión, por eso, lo más sencillo para evitar equivocaciones es utilizar el CVE, que lo ha identificado como CAN-2002-0656, donde encontraremos todas las referencias al gusano.
"Buffer overflows in OpenSSL 0.9.6d and earlier, and 0.9.7-beta2 and earlier, allow remote attackers to execute arbitrary code via (1) a large client master key in SSL2 or (2) a large session ID in SSL3."
Según parece, tal y como comenta Sandu Mihai, simplemente teniendo la precaución de montar el directorio /tmp con noexec y nosuid, hubiera bloqueado este gusano y otros ataques similares ;-).
"Usually, a common tactical move is to securely design the system from the start. A /tmp placed on an independent partition, and mounted noexec, nosuid along with chattr +a on logs, and +i on important directories like /sbin, /bin and the like it is a fair policy."
Hay mucha información sobre el dichosos gusano, por lo que no voy a enrollarme sobre el tema, tan solo recomendaros que os actualiceis la versión del Apache (1.3.26 o 2.0.40 o superior) y SSL (0.9.6e o superior) lo antes posible, si no lo habeís hecho ya ;-)
Referencias:
Gallir nos comenta esto sobre el gusano en un correo a la lista de Bulma:
"Pero si tenéis una versión menor de las openssl 0.9.6.e, actualizad ya, y mirad que vuestro ordenador no esté infectado con el puto gusano.
Hay que mirar en /tmp por los ficheros .cynik y .unlock
Si es así, actualizad vuestras libreráis OpenSSL (libssl0.9.6 en Debian) y reiniciad el apache, ssh y todo los demonios que la usen.
ALERTA: aunque hayáis actualizado, si no re-arrancáis, el sistema sigue siendo vulnerable.
De paso, haced:
tcpdump udp -x -n -s 64 port radius
Si véis mucho tráfico, ya sabéis :-(
"
--
carcoco
http://bulma.net/todos.phtml?id_autor=132
|
|
|
|
|
|
|---|
Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos
| 1. Re: Un gusano ataca máquinas linux (Apache/SSL) (20/09/2002 14:08, #8558)
Por: El cobarde anónimo |
Este comentario no tiene que ver realmente con el tema, sin embargo tiene que ver con seguridad: ¿En qué sitio de Internet, manual o HOWTO se pueden encontrar tips de seguridad tan importantes como los mencionados en el 3er párrafo?
Saludos | No es pot respondre
|
2. Re: Un gusano ataca máquinas linux (Apache/SSL) (20/09/2002 14:33, #8559)
Por: Kiko |
la LASG está bastante bien.
Lo de los filesystems está explicado en el apartado "Filesystem layout and structuring" del capítulo Installation.
Salu2 | No es pot respondre
|
3. Re: Un gusano ataca máquinas linux (Apache/SSL) (20/09/2002 19:25, #8566)
Por: El cobarde anónimo |
| Gracias, ¿me copias el enlace? | No es pot respondre
|
4. Re: Un gusano ataca máquinas linux (Apache/SSL) (20/09/2002 19:27, #8567)
Por: El cobarde anónimo |
| Yaa ya, no sabía que era un enlace.... Muchas gracias!!!! | No es pot respondre
|
|
|
|
5. Re: Un gusano ataca máquinas linux (Apache/SSL) (21/09/2002 02:08, #8577)
Por: El cobarde anónimo (http://www.realpartys.com) |
Hola, solo una pregunta sobre la Solucion que se propone al Gusano.
¿Como se puede saber si un directorio esta montado con NoExec y NoSuid ? ¿ Y con que comando se monta ? ¿ Con chatrr ?
Gracias. Es un Alivio esta Informado de Todo el Mundo Linux en una Sola Web. | No es pot respondre
|
6. Un scrip cutre para eliminarlo (01/10/2002 18:14, #8804)
Por: Manuel Anxo Rei |
Pues eso, un cutrescript muy simple para eliminarlo.
#!/bin/bash
########################################
#ANTISLAPP ER
# Manuel Anxo Rei
########################################
nada=""
cinik="$(ls /tmp/.cinik*)"
cinika="$(ls /tmp/*bugtra*)"
cinikb="$(ls /tmp/.unlock*)"
avisa() {
killall .cinik
killall .bugtraq
killall .unlock
rm /tmp/.cinik*
rm /tmp/*bugtra*
rm /tmp/.unloc*
rm /tmp/*updat*
echo "
The worm Slapper was found an deleted
=======================
Be happy :)
======================="
>worm.txt
mail root -s Detectado_worm_Slapper
mail webmaster -s Detectado_worm_Slapper | No es pot respondre
|
7. El trozo que falta (01/10/2002 18:22, #8807)
Por: Elde antes |
| mail webmaster -s Detectado_worm_Slapper | No es pot respondre
|
8. Re: Un gusano ataca máquinas linux (Apache/SSL) (01/10/2002 18:24, #8808)
Por: Otra vez.. |
No se que pasa que no puedo evciar el script completo.
Serán las cookies o que se yo.
Lo siento | No es pot respondre
|
9. Re: Un gusano ataca máquinas linux (Apache/SSL) (08/10/2002 21:04, #9005)
Por: Leo |
| Esa script no sirve,dado que las nuevas versiones del gusano no solo se copian en el /tmp, Se copian en los directorios en el que tiene permisos, ademas baja un nuevo fuente en un cmd guardado en el crontab
cron -u apache -l | No es pot respondre
|
|
|
|
|
|---|
|
|
|
|
Calificacion
 
Vots: 17 |
Danos tu opinion:
|
|
|
|
|
|
|
|
