Apache worm actief op FreeBSD servers

SecurityFocus bericht over een trojan die zichzelf kopieert en installeert in Apache. Het blijkt een trojan te zijn voor Apache 1.3.20/22/23/24 die op FreeBSD 4.5 x86 systemen draait. Het doel van de trojan was om een DoS aanval uit te voeren op dit adres: 12.127.17.71. Deze melding komt naar voren op de support site van FreeBSD. Diezelfde dag schieten een paar mensen te hulp de trojan verder uit te pluizen en om achter de werking van de trojan te komen. Uiteindelijk blijkt alle moeite voor niks te zijn gedaan, want dezelfde dag duikt de source ook nog eens op . Als er mensen zijn die denken dat ze deze weer lekker kunnen gebruiken hebben ze het mis, want de oplossing is ook al gevonden: Apache updaten naar versie 1.3.26 of hoger:

Hi,
our honeypot systems trapped new apache worm(+trojan) in the wild. It traverses through the net, and installs itself on all vulnerable apaches it finds. No source code available yet, but I put the binaries into public place, and more investigation is to be done.

Regards,
Domas Mituzas

Central systems @ MicroLink Data

Met dank aan Verwijderd die gisterenavond wakker werd om het ons te sturen.

Lees meer

Reacties (64)

Verwijderd 29 juni 2002 21:14

Het geluk bij deze worm is dat ie voor FreeBSD is gemaakt. Er zijn maar weinig mensen die niet weten waar ze mee bezig zijn en FreeBSD installeren, dus de schade van de worm zal relatief gering zijn. Er staan VEEL Linux bakjes (nu nog steeds) ongepatcht te draaien... Dus als iemand deze worm voor Linux loslaat zijn de rapen gaar

Verwijderd @Verwijderd • 30 juni 2002 03:25

idd... Mensen die FreeBSD gebruiken hebben allang een cvsup ports en een pkg_del apache && cd /usr/ports/www/apache && make install gedaan..

Waarbij het meteen handig kan zijn om naar 4.6p1 te gaan, overigens.. ;-)

* 786562 PtB

intoxicated

@Verwijderd • 29 juni 2002 21:17

Overigens zijn bij mijn weten alle 1.3-versies en alle 2.0-versies voor de door mij hierboven genoemde versies, in feite vatbaar voor de exploit. Daarom vind ik het ook uitermate vreemd, dat het onderstaande in de code voorkomt:

} targets[] = {
{ "FreeBSD 4.5 x86 / Apache/1.3.20 (Unix)", -146, 0xbfbfde00,6, 36 },
{ "FreeBSD 4.5 x86 / Apache/1.3.22-24 (Unix)", -134, 0xbfbfdb00,3, 36 },
}, victim;

Dus, alleen 1.3.20 en 1.3.22 tot .24

_JGC_ @Verwijderd • 29 juni 2002 21:20

Lang leve opensource gemeenschap en de GNU crosscompiler

intoxicated

@_JGC_ • 29 juni 2002 21:23

Inderdaad. Ik heb even een paar dingen veranderd, en hij compiled hier in Linux zonder al teveel problemen. De executable doet een beetje raar, maar als ik er moeite voor zou doen, zou 'ie vanavond nog kunnen worden losgelaten

Niet dat dat m'n intenties zijn hoor, ik vraag me gewoon af, of het inderdaad zo makkelijk zou zijn...

Verwijderd @intoxicated • 30 juni 2002 13:59

Als je toch bezig bent.. verander anders ff de worm dat de exacutable code "kill -9 pidof apache" is

Verwijderd 30 juni 2002 01:32

Beetje wazig geleuter hier weer..
Apache (en OpennSSh) zijn beide geen onderdeel van het OS net als dat IIS dat niet is bij Windows.. (niet roepen het zit erin gebakken.. dat zit apache ook bij rooiehoed en andere varianten)..
geneuzel over dat de patch zo snel voorhanden was is ook al doelloos aangezien de bug al jaren oud was.. de patch waarschijnlijk dus ook.. Bij *nix wordt er gewoon gewacht met het bekend maken van de bug zodra er een patch is..
Tis maar hoe je het bekijkt.

deadinspace @Verwijderd • 30 juni 2002 03:33

geneuzel over dat de patch zo snel voorhanden was is ook al doelloos aangezien de bug al jaren oud was.. de patch waarschijnlijk dus ook..

De bug was weliswaar jaren oud, maar pas recent ontdekt (dikke week geleden). Na ontdekking was één dag later een nieuwe versie uitgebracht (zie ook mijn post ietsje hoger).

Bij *nix wordt er gewoon gewacht met het bekend maken van de bug zodra er een patch is..

Niks "bij *nix"... Bij alle software gebeurd dat, ook bij Windows software.

* Er wordt een exploit gevonden.
* De exploit wordt gerapporteerd bij de maintainer van de software in kwestie.
* De maintainer krijgt tijd (meestal hoogstens een week oid) om de bug te fixen.
* De vendors van de software worden ingelicht en krijgen de patch of de nieuwe versie.
* De exploit wordt publiekelijk aangekondigd, en de patch / nieuwe versie wordt overal beschikbaar gesteld.

Hodgesaargh @Verwijderd • 30 juni 2002 03:39

Je scheert alle *nixxen over 1 kam nu en dat kun je niet doen

Alle commercieele *nixxen zullen net als MS iets voorzichtiger zijn met het uitbrengen van waarschuwingen tegen bugs etc. gewoon omdat het hun naam aantast en ze eerst zullen kijken of het echt een risico is ja of nee. Aan de hand daarvan kijken ze dan of ze het als patch/bugfix uitbrengen of gewoon in de nieuwe release.

De open source *nixxen daarentegen lopen iets minder risico als eht gaat om de naam en zullen dus veel eerder met dit soort info naar buiten komen.

Dit heeft IMHO niets te maken met wat jij zegt :

Bij *nix wordt er gewoon gewacht met het bekend maken van de bug zodra er een patch is..

EgoH @Verwijderd • 30 juni 2002 03:03

Verwijderd 29 juni 2002 21:40

Ook al compile je hem op linux, dan nog exploit hij alleen bsd machines.

intoxicated

@Verwijderd • 29 juni 2002 21:45

Absoluut niet. Als je de targets-array aanpast in de sourcecode, zullen ook Linux of Windows-systemen met Apache worden aangevallen. En de exploit werkt op elk Operating System.

HGM 29 juni 2002 20:57

Dit nieuwsbericht is nogal onvolledig. Aangezien alleen systemen vulnerable zijn welke nog niet voorzien zijn van de nieuwe Apache versie 1.3.26 of 2.0.39

Verder is een worm niet hetzelfde als een trojan!

Edit: inderdaad 1.3, ff iets te enthousiast

Steije @HGM • 29 juni 2002 21:16

1.4? Is het niet 1.3? En zo nee, leg het mij dan even uit

deadinspace @Steije • 29 juni 2002 21:22

HGM bedoelde 1.3.26.

baggah 29 juni 2002 19:55

De binary die gevonden was is niet gelijk aan de source code. Hoeveel ze verschillen weet ik niet, wel weet ik dat de Useragent header die verstuurd wordt verschilt.

Maarten @klet.st @baggah • 30 juni 2002 12:38

Ik ben benieuwd waar je dat uit opmaakt? Het zou mij niets verbazen als die worm zich weldegelijk als "Mozilla/4.75" voordoet op Linux als een soort
van stealth eigenschap in je logfiles.

Cybje 29 juni 2002 19:51

Unix/Linux komt ook steeds meer in het nieuws met redelijk vervelende security bugs, krijg ik het idee. Tenminste, er was dan al iets terug ook een Apache bug. En de OpenSSH bug. Is op zich ook niet zo vreemd dat er meer bugs worden gevonden, aangezien er ook steeds meer users komen, maar welk OS moeten we ooit nemen als en Windows en Unix/Linux buggy zijn?

RG @Cybje • 29 juni 2002 20:18

Is op zich ook niet zo vreemd dat er meer bugs worden gevonden, aangezien er ook steeds meer users komen, maar welk OS moeten we ooit nemen als en Windows en Unix/Linux buggy zijn?

Apache serveert al een aantal jaar de meeste websites op het internet. FreeBSD is een van de populairste besturingssystemen voor webservers. Omdat er meer desktop gebruikers komen zal echt niet zoveel invloed hebben op het aantal bugs dat gevonden wordt op servergebied.
Bugs zitten overal. Maar veel UNIX software heeft wel een behoorlijk schoon starfblad wat betreft serieuze bugs. Vaak is het een combinatie van een fout in bepaalde services en een fout in de kernel waardoor je root toegang kunt krijgen. Zoiets was afgelopen week bij OpenBSD het geval, maar er zijn ook genoeg ouwe Linux kernels die local rootable zijn.

Verwijderd @RG • 30 juni 2002 11:54

Wat een dikke onzin, schoon strafblad wat serieuze bugs??? Lees jij bugtraq wel eens?? En de nu aankomende OpenSSH bug (Ja ja mensen, remote root) zal het er echt niet beter op maken.. Dus om nou te zeggen dat linux weinig serieuze bugs heeft? No way!

Verwijderd @Verwijderd • 30 juni 2002 12:32

omg, wat heeft openSSH met linux te maken, behalve het feit dat je openSSH op linux kunt draaien? (en waarschijnlijk op bijna elk OS)

Verwijderd @Verwijderd • 30 juni 2002 20:49

Het feit dat linux zonder SSH bijna onbruikbaar remote is? OpenSSH is een van de meest belangrijke onderdelen van linux. Het wordt standaard meegeleverd en bijna iedereen draait SSH. En nou komt er iemand langs... nou... wat noem je nou weer voor onzin... wat heeft OpenSSH met linux te maken?

Ik wordt er een beetje ziek van mensen die beginnen te gillen "WEER EEN ISS EXPLOIT, KUT MICROSOFT" en dan over een mega exploit in OpenSSH en Apache zeggen: "Ja, dat kan gebeuren, gebeurt niet vaak hoor" terwijl er rijen met linux exploits langsvliegen op bugtraq.

Just my 5p.

deadinspace @Cybje • 29 juni 2002 21:45

Tenminste, er was dan al iets terug ook een Apache bug.

Deze worm maakt gebruik van die exploit. Dat is dus 2 nieuwsposts, maar één exploit. Versie 1.3.26 en 2.0.39 (die beiden al een week ofzo uit zijn) zijn niet vulnerable voor deze exploit, en dus niet vatbaar voor deze worm.

En de OpenSSH bug. Is op zich ook niet zo vreemd dat er meer bugs worden gevonden, aangezien er ook steeds meer users komen

Bugs in Free software (waaronder GNU/Linux, FreeBSD, apache, openssh en nog veel meer) komen al lang voor; sinds het bestaan van die software. Dat er bugs in zitten en gevonden worden is dus weinig nieuws, en dat zal ook zo snel niet veranderen.

Het verschil dat ik tot nu toe bemerkt heb met proprietary software is dat
1. Het aantal exploits in niet-beta software in het geval van Free software aanzienlijk kleiner is.
2. Als er een exploit wordt gevonden in Free software, dan is hiervoor meestal aanzienlijk sneller een fix dan bij poprietary software het geval is.

Ik volg bugtraq, de security mailinglist, en daar komen wekelijks een berg nieuwe exploits voorbij, daar wordt je gewoon eng van. Maar nog altijd valt het aantal serieuze exploits in Free software redelijk mee qua aantal.
Al is het nu wel twee keer goed raak in één week.

maar welk OS moeten we ooit nemen als en Windows en Unix/Linux buggy zijn?

'Unix/Linux' ? Volgensmij is dat een knap staaltje overgeneralisatie.
Er zijn vele Unices (waarvan slechts een aantal Free), zoals bijvoorbeeld Solaris, HPUX, IRIX, AIX, GNU/Linux, FreeBSD, OpenBSD.

Bugs in deze OSsen (en dan in het OS zelf, dus de kernel, de base libs of de base tools of iets in die geest) zijn meestal specifiek voor één of een paar van deze OSsen.

Bugs in software die op deze OSsen draait (zoals bijvoorbeeld OpenSSH en Apache) zijn meestal aanwezig in de software, onafhankelijk van welk OS je draait. Zo zijn die exploitable versies van OpenSSH en Apache ook exploitable op Windows.

En wat betreft buggy: alle software is buggy. Alleen is Windows en een aantal populaire applicaties en servers voor Windows in mijn ervaring stukken buggier dan de (al dan niet Free) Unices.

_JGC_ @Cybje • 29 juni 2002 20:58

Tenminste, er was dan al iets terug ook een Apache bug. En de OpenSSH bug

Klopt, er was een tijd geleden ook een IIS bug, en daar kwamen virussen als Nimda/CodeRed voor. Nu hebben we een Apache worm die de exploit van Apache van vorige week probeert uit te buiten. Enige verschil met dit wormpje en de Nimda worm: deze worm valt alleen niet gepatchte servers aan, andere servers laat ie met rust na het bekijken van de versieinfo, het heeft immers geen zin om IIS aan te vallen met een Apache exploit

Maarten @klet.st @_JGC_ • 30 juni 2002 12:34

Het is niet helemaal waar dat deze worm alleen vulnerable versies aanpast:

- De worm weet niet of een machine FreeBSD draait dus valt elk OS aan
- Er zijn ook gepatchde versies van 1.3.23/24/25, die worden gewoon aangevallen

Maar het is wel 'netjes' dat de worm niet klakkeloos alles aanvalt wat op poort 80 luistert :-)

AVL @Cybje • 29 juni 2002 21:14

Het gaat hier natuurlijk over dezelfde Apache bug als een tijdje terug, het is alleen vervelend dat dat niet in de nieuwspost staat. Er is nu dus een worm die gebruik maakt van die Apache bug. Nieuwere versies van Apache (>=1.3.26 of >=2.0.39) zijn natuurlijk niet kwetsbaar.

^Mo^ @Cybje • 29 juni 2002 19:55

Als je een bugloos OS zoekt, stop met zoeken want dat vind je nooit van je leven. Zowel Windows als Linux zullen bugs bevatten, dat is met elk stukje software zo... maar Linux zal ongetwijfeld minder bugs bevatten dan Windows.

Verwijderd @^Mo^ • 29 juni 2002 20:03

>het gaat hier over FreeBSD<

maar het gevaarlijke is dat 80% (dacht ik) draait met een apache server, en dus veruit de meest gebruikte web-server.

Verwijderd @Verwijderd • 30 juni 2002 17:56

Het is op dit moment 56% van de webservers die Apache draait (bron apache.org)

The May 2002 Netcraft Web Server Survey found that 56% of the web sites on the Internet are using Apache

Verwijderd @^Mo^ • 2 juli 2002 10:04

maar Linux zal ongetwijfeld minder bugs bevatten dan Windows.

het gaat hier om een bug in Apache, een server die zowel onder Linux als onder Windows draait, het gaat ook over een verouderde versie van Apache, de bug is al lang gefixt. En deze worm specifiek kan alleen wat als het onderliggende OS FreeBSD is. Dus lijkt me niet echt een reden om een discussie te beginnen over of Windows nou wel of niet meer bugs heeft dan Linux.

Drogo 29 juni 2002 21:00

aanvulling op bramvrzt: Wat ze ook zouden doen om dit soort probs te voorkomen is het simpelweg dichttimmeren van ICMP, net als bij microsoft.com.

ACM Software Architect @Drogo • 29 juni 2002 21:10

Dat helpt je weinig hoor, de firewall moet dan die ICMP-packets verwerken. Als je er daar genoeg van verstuurd gaat de boel alsnog plat.

Maar een DoS op de service zelf is iets makkelijker dan

intoxicated

@Drogo • 29 juni 2002 21:03

Dat is natuurlijk mogelijk, maar DDoS'en worden vaak in de vorm van een normaal request van een bepaalde service gegeven, en niet als een normale ping.

Dus, een DNS-server haal je neer door het ding constant met Domainresolve-requests te bestoken. Wanneer ze die service, uitzetten, heeft de DDoS evengoed succes gehad.

Verwijderd @Drogo • 29 juni 2002 21:07

frozensky_ 29 juni 2002 20:00

Toch is er een duidelijk verschil te vinden tussen closed sources en open source platvormen,
bij closed source is het maar de vraag hoeveel bugs er in zitten, men dient de software leverancier min of meer te vertrouwen, maar wellicht (en dat is al vaker gebleken) is closed source software soms tjok vol met bug en security issues, het is voor hackers dan ook een stuk moeilijker om een bug te vinden in closed source software dan in open source software. Nu is het natuurlijk wel zo dat in de tienduizenden regels van apache en dergelijke het natuurlijk ook niet simpel is om even alle bugs er uit te halen, maar indien men op zoek is naar een bug kan wel simpel worden gekeken in de source of dit gedeelte is afgevangen in de code.

Dus ik vind het nog erg mee vallen wat er aan bugs wordt gevonden in Apache en andere grote open source projecten. Bovendien zijn de meeste bugs razend snel gedicht, sneller dan ik meestal door heb dat er een bug is (en ik controleer toch dagelijke een aantal grote security sites).

ACM Software Architect @frozensky_ • 29 juni 2002 21:02

Dat is natuurlijk een beetje een raar verhaal, openssh en apache bleken ook een exploitable bug te bevatten van enkele jaren oud

Het was natuurlijk wel leuk om te zien dat de volgende dag er al een bugfix/risk-controll was gepost.

jubeth 30 juni 2002 15:39

Even voor de duidelijkheid (old-school talking here);

BSD is Unix. Unix is BSD.
BSD was er al bij het begin van UNIX, sterker nog, zonder de diverse BSD contributies zou UNIX voor een deel zijn uitgestorven. BSD heeft nog altijd de lekkerste network stack in de hele wereld

BSD is een directe afstammeling van AT&T UNIX, en heet alleen maar geen FreeUNIX vanwege copyright issues.

Linux daarentegen is ontwikkeld vanuit niets. Er zat niet 1 stukje unix code in. Torvalds had ook niks liggen om het op te baseren. BSD en System V UNIX werden slechts als voorbeeld gebruikt door Linus.

Ook de o.s.-wildcard "*nix" die ik steeds vaker zie is heel erg fout. BSD en Linux zijn echt niet te vergelijken, alleen al de wijze waarop de systemen data op een harddisk plaatsen verschilt als dag van nacht. Daarin is BSD veruit superieur te noemen.

Wat betreft de worm en bugs van de laatste maanden;
Beetje degelijke firewall config maakt die trojan al onmogelijk. Er is ook niet echt veel meer aan de hand dan normaal, er wordt zoveel ophef over gemaakt omdat het over Apache gaat, 's werelds meest geavanceerde en meest gebruikte http-daemon, en omdat men inderdaad gemakshalve altijd maar aanneemt dat je daar blind op kunt vertrouwen omdat de source-backing van Apache dev zo enorm groot is.
Nadeel van dat blinde vertrouwen is dat veel server-based hardware, zoals die van Sun (tegenwoordig ook Cobalt bijv.) bijna als dedicated software-basis leunen op inmiddels sterk verouderde Apache versies, en dat die fabricanten ontzettend veel moeite moeten doen om bijv. al die systemen waarin zij gebruik maken van een oude Apache versie volledig om te gooien zodat er een nieuwe op kan draaien. Er is in heel veel gevallen geen geld voor goede developers, in deze economisch zware tijden, en daarmee begraven enorme bedrijven als dat zichzelf langzaam maar zeker. Kant en klaar systemen ondervinden steeds vaker de nadelen van de snelheid waarmee op het internet bugs en security-info zich verspreiden. Er vindt dus een verschuiving plaats naar het zelf bouwen en zelf installeren van server systemen. Aanvankelijk iets meer werk, maar in the end boek je er winst mee. Yahoo! bijv. draait al jaren op zelf onderhouden FreeBSD machines, en heeft zich daardoor heel veel ellende weten te besparen...

~jult

Verwijderd @jubeth • 30 juni 2002 18:17

Linux daarentegen is ontwikkeld vanuit niets. Er zat niet 1 stukje unix code in. Torvalds had ook niks liggen om het op te baseren.

Ook niet helemaal waar. De allereerste versies van bijvoorbeeld de scheduler waren wel degelijk gebaseerd op oude code, in dit geval afgekeken van Minix. Er waren trouwens wel meer zaken overgenomen van Minix (met dank aan Dhr Tanenbaum voor Minix

) zoals bijvoorbeeld het Minix filesysteem, wat in versies voor 1.0 het standaard filesysteem was dat via de bootfloppy werd doorgestart (de rootfloppy). En dan hebben we het natuurlijk alleen over de Linux kernel. De rest van de meeste executables waren uit de Gnu hoek afkomstig (met dank dus aan Richard Stallman).

* 786562 plok

jubeth @Verwijderd • 30 juni 2002 23:34

De allereerste versies van bijvoorbeeld de scheduler waren wel degelijk gebaseerd op oude code, in dit geval afgekeken van Minix. Er waren trouwens wel meer zaken overgenomen van Minix (met dank aan Dhr Tanenbaum voor Minix ) zoals bijvoorbeeld het Minix filesysteem, wat in versies voor 1.0 het standaard filesysteem was dat via de bootfloppy werd doorgestart (de rootfloppy).

Linus zelf zegt dat hij Linux 'from scratch' heeft geschreven zonder stukken code te copy-pasten, en daarin geloof ik hem wel. Hij gebruikte natuurlijk Minix en BSD code om dingen van af te kijken, maar moest het in een nieuwe vorm gieten om het draaiende te krijgen. We kennen onderhand allemaal de legendarische usenet-postings van Torvalds in de minix-groups die per ongeluk tot linux hebben geleid

De rest van de meeste executables waren uit de Gnu hoek afkomstig (met dank dus aan Richard Stallman).

Credit to Richard where credit is due. Om het correct te brengen; Linus heeft pas in 1991 voor een kernel gezorgd, en waar die mee draait is GNU, die al begonnen waren in 1984. Zie ook http://www.gnu.org/gnu/linux-and-gnu.html

En hier een interessant recent interview met Stallman;
ftp://jult.net/gnu2600.mp3

TeasingU 29 juni 2002 19:55

Het is toch juist zo dat wormen en andere soorten virussen uberhaupt niet op unix/linux werken? Tenzij er echt een behoorlijke security bug is natuurlijk.

boesOne @TeasingU • 29 juni 2002 20:19

De meeste windows wormen en virii werken niet op linux omdat Linux ze simpelweg niet kan uitvoeren.
Dat heeft tot voor kort linux redelijk gevrijwaard van wormen enzo. Tegenwoordig is linux meergebruikt en is het ook 'lonend' om linux wormen te maken. Vooral omdat linux/unixbakken vaak aan een netwerk hangen en dat is leuk voor een worm die een site plat wil gooien.
Linux exploits zijn vaak snel verholpen omdat de source open is en de fout dus door iedereen gelocaliseerd en verholpen kan worden.

deadinspace @TeasingU • 29 juni 2002 21:50

Het is toch juist zo dat wormen en andere soorten virussen uberhaupt niet op unix/linux werken? Tenzij er echt een behoorlijke security bug is natuurlijk

Die apache exploit (waarover een weekje terug hier ook een nieuwspost stond) waar deze worm gebruik van maakt is ook wel een behoorlijke security bug.

Op dit item kan niet meer gereageerd worden.

Apache worm actief op FreeBSD servers

Lees meer

Reacties (64)

Sorteer op:

Weergave: