Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nieuwe worm voor Linux gesignaleerd

Bij Symantec lezen we over een nieuwe worm voor Linux; Linux.Slapper.Worm. De worm maakt gebruik van een fout in OpenSSL, die een buffer overflow oplevert. Via deze bug krijgt Slapper het voor elkaar om een shell op een ander systeem te draaien. Veel distributies zijn doelwit; onder meer SuSe, Mandrake, Red Hat, Slackware en Debian. De eerste tekenen van de worm komen uit Portugal en RoemeniŽ, waar op het moment ook al systemen zijn waargenomen die door toedoen van de worm DDoS-aanvallen uitvoeren. De technische beschrijving van deze nieuwe worm - die te voorkomen is door naar OpenSSL 0.9.6g te upgraden - ziet er als volgt uit:

LinuxThe worm attempts to connect on Port 80 and it sends an invalid GET request to the server to identify the Apache system. Once the worm finds an Apache system it will try to connect on port 443 to send the exploit code to the listening SSL service on the remote system.

The worm uses a Linux shell code exploit which will run only on Intel systems. This code requires the presence of the shell command /bin/sh in order to execute properly. The worm encodes its own source code named ".bugtraq.c" (thus only a "ls -a" command will show the file) with UU encoding, sends it over to the remote system and decodes the file. After this it compiles the file using gcc and runs the binary which will be called ".bugtraq". These file are placed in the /tmp directory.

Lees verder bij Symantec.

Door

51 Linkedin Google+

Submitter: Wouter Tinus

Bron: Symantec

Reacties (51)

Wijzig sortering
Ik heb gisteren mooi last gehad van deze worm, het viel op omdat de bak ineens netwerk traffic genereerde zonder dat hij gebruikt werd en het geheugen gebruik extreem was toegenomen. Verder draaide er een process bugtrac onder de apache user.

Mocht iemand last hebben van de worm:
Als je die 2 files in /tmp wist en het process dat gestart is (met dezelfde naam dus) killed ben je er weer vanaf.

Natuurlijk moet je daarna wel even updaten, als je ssl zelf compiled moet je wel opletten dat je het in de goede directory installeert (oa Redhat wijkt hier mee af).
Ben ik ff blij dat ik een Windows 2000 server heb :)

Sorry hoor, kon het ff niet laten }>
Ik zal je dan maar niet helpen herinneren aan code red? }>

* 786562 Nexxennium
Geen last van gehad hoor, ik ben niet zo'n luie sysadmin die om 10:00 op z'n werk aankomt, van 11:00 tot 15:00 gaat luchen en om 16:00 maar es op huis aan gaat.

Ik hou de zaak up-to-date ;)
Ik hou de zaak up-to-date
Gelukkig gaat dat met windows lekker makkelijk met WUP :)
weet iemand ook hoe dat GET request er uit ziet die naar web server gestuurd word ??

Ik zie de Volgende meldingen in mij access log

208.62.67.38 - - [15/Sep/2002:14:33:38 +0200] "GET / HTTP/1.1" 400 382

met de volgende error log melding

client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /
Bijvoorbeeld :

GET /somedir/page.html HTTP/1.1
Wat dacht je van zo:
"GET". :)
Get request wordt alleen gebruikt om te zien of er Apache draait. Heeft in feite niets met de exploit te maken.
Get request wordt alleen gebruikt om te zien of er Apache draait.
Ik zou RFC-2616 eens (her)lezen...
ik denk dat ze i386 bedoelen
ik vraag me af of ze niet X86 bedoelen ..
op http://uptime.netcraft.com/ kan je kijken wat voor versie een webserver draait....
Heb net snel ff OpenSSL geupgrade (al heb ik geen idee wie mij uberhaupt zou willen hacken...).

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*