Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties
Bron: Netcraft

Het gebeurt niet vaak, maar dit keer wordt melding gemaakt van een worm die zich niet op het Windows-platform richt. Door middel van een lek in een aantal XML-RPC-implementaties slaagt de worm Linux.Plupii of Linux/Lupper erin zich over het internet te verspreiden. Deze kwetsbare componenten worden gebruikt in heel wat populaire php-software waaronder PostNuke, Drupal, Xoops, WordPress en TikiWiki. Gebruikers van deze software wordt dan ook aangeraden zo snel mogelijk te updaten. Jammer genoeg zijn nog niet alle pakketten aangepast om weerstand te kunnen bieden tegen de worm, ondanks het feit dat de bugs in de php-bibliotheken enkele maanden geleden al opgelost werden.

Robin TuxAndere software waarvan de malware gebruikmaakt is AWStats versie 5.0 tot en met 6.3 en Webhints versie 1.3. Als de Plupii-worm een server binnengedrongen is, stuurt hij automatisch een bericht naar de aanvaller via poort 7222 of 7111 en opent het een backdoor om de hacker toegang te geven tot het systeem. Tot slot genereert de worm een aantal url's waarmee hij op zoek gaat naar een nieuw slachtoffer.

Moderatie-faq Wijzig weergave

Reacties (88)

Dus je loopt alleen risico als je een server draait met PHP ?

Maar de dreiging is erg laag, en zal binnen nu en een paar dagen weer gedicht zijn door de verschillende distributeurs.
poort 7222 en 7111 volledig dichtgooien en wachten op update, geen ramp

wel ironie: even geleden heeft instructeur gezecht dat er "geen" linux virussen zijn :)
Kaspersky kent er anders stiekem toch 853 voor Linux hoor.
Kaspersky kent er anders stiekem toch 853 voor Linux hoor.
Kent er 853 wat? koeien? schapen?

Ze kennen 853 wormen, die op producten werken die onder Linux kunnen draaien (maar ook macOSX, freeBSD, en zelfs vaak op windows), maar geen enkele is een virus, geen enkele weet root-rechten te behalen, en geen enkele is linux specifiek.
Er bestaan wel degelijk een aantal linux-virussen, alleen zijn die inderdaad vooral gevaarlijk als ze als root uitgevoerd worden. De meeste Windows-virussen zijn (op NT) ook pas gevaarlijk als ze als Administrator uitgevoerd worden...
wel ironie: even geleden heeft instructeur gezecht \[sic!] dat er "geen" linux virussen zijn
Dit is ook helemaal geen Linux virus, want het is een worm die bovendien niets met de Linux kernel te maken.

Op BSD werkt het nl. ook. En misschien ook wel op Mac OS. (En mogelijk ook op Windows, zie bericht AniMatrix)

Het is een PHP/XML-RPC specifiek iets en heeft dus niet zoveel met Linux als OS te maken.

Bovendien behoort PHP/XML-RPC bij de meeste distro's niet tot de standaardinstallatie en de meeste mensen die Linux op hun desktop hebben draaien zullen dit ook niet geinstalleerd hebben.
Het is dan ook geen virus, maar een worm...
Kom op he. Spreek alleen als je ergens verstand van hebt. Voor het uitvoeren van een programma met root rechten heb je (standaard) onder ubuntu nog steeds het volgende nodig: Ten eerste de sudo rechten (wat standaard alleen de eerste gebruiker heeft) en ten tweede nogmaals je wachtwoord. Dus niks 'virus die alleen maar sudo hoeft te commanderen'.
Het zou natuurlijk wel kunnen dat er een Linux-distro is die een root account standaard installeert zonder password ;) Zo heeft Knoppix naar mijn weten geen password voor root, en als je die dan op je harde schijf installeert... (Normale distro's zullen wel slimmer zijn en toch een wachtwoord vragen bij het installeren :) )
poort 7222 en 7111 volledig dichtgooien en wachten op update, geen ramp
standaard policy.... ALLES is al dicht behalve die poorten die je nodig hebt...
7111 en 7222 komen dus dan per definitie niet op die lijst.
Jouw standaard policy ja... niet van elke Linux-gebruiker!

Het is wel zo dat bij de meeste distributies de standaard policy is: alles dicht, behalve wat open moet. En bovendien zijn de meeste Linux-gebruikers op het moment niet zo a-digitaal als de meeste Windows gebruikers (no offence!), dus meestal staat het wel goed.
het zijn poort 7111 en 7222 naar buiten toe he, niet naar binnen. dus je crippelt je eigen internet verbinding als je dat soort dicht gooit. (niet veel, maar goed...)
... maar wel van iedere systeembeheerder die wat voorstelt en waar downtime een probleem zou kunnen zijn :-)

Services draaien op externe interfaces is sowieso al taboe tenzij je ze nodig hebt..
Alleen PHP is niet voldoende. Je bent kwetsbaar als je van een softwarepakket dat geschreven is in PHP en van de (externe) XML-RPC library gebruik maakt.
en opent het een backdoor om de hacker toegang te geven tot het systeem
Standaard draait PHP in Linux onder een account dat bijna geen rechten heeft, behalve het lezen (en soms schrijven) in directories die nodig zijn om websites op je scherm te toveren...
Standaard draait PHP in Linux onder een account dat bijna geen rechten heeft, behalve het lezen (en soms schrijven) in directories die nodig zijn om websites op je scherm te toveren...
Dat lijkt me overdreven, een socket openen, email versturen, /etc/passwd lezen, etc etc mogen de meeste gebruikers wel... dus ook de gemiddelde user waaronder PHP draait...
Dat lijkt me overdreven, een socket openen, email versturen, /etc/passwd lezen, etc etc mogen de meeste gebruikers wel... dus ook de gemiddelde user waaronder PHP draait...
meeste (goeie) sysadmins draaien op een *nix box apache met een user als "www" of "nobody" die geen shell heeft en bij voorkeur ook geen rechten tot alle files buiten de wwwroot. /etc/passwd lezen heb je al een tijdje niet zoveel meer aan (tenzij je graag de usernames op een box wil weten) aangezien de passwords in de root-readable-only file /etc/shadow staan.
en een socket openen mag nooit als non root op een poort onder de 1024 en als je een beetje security minded admin hebt staat er wel iets van grsec/snort/etc. te draaien in de achtergrond waardoor je ofwel verhinderd wordt een andere port te openen ofwel een berichtje krijgt als er een port geopend wordt..
email versturen is nog wel de laatste van je zorgen.

een beetje goeie admin heeft zijn bak allang afgesloten voor de onzin die je kan uithalen. dus naja.. eigen schuld dikke bult
Het hele verhaal wat je hier vertelt geldt dus ook voor windows...
een beetje admin zorgt ervoor dat er een firewall op de server draait die niet bekende poorten niet naar buiten en binnen laat komen, een admin heeft een virusscanner draaien die zich minstens elke dag, maar het liefst elke paar uur update, een beetje admin geeft de anonieme webuser, iis en asp-net accounts alleen rechten om te lezen op directories waar deze alleen maar in hoeven te komen...

een beetje goeie admin heeft zijn windowsbak allang afgesloten voor alle onzin die virussen gebruiken om zooi uit te halen....


Linux, unix, mac os, etc... allemaal zijn ze afhankelijk van de admin voor het goed dichttimmeren van de zaak. De ontwikkelaar brengt updates/patches/etc. uit, maar de admin zal er voor moeten zorgen dat deze ook op de bak komt te staan.
De grote verschillen tussen Windows gebruikers en Unix gebruikers zijn alleen wel dat:

* Unix installaties zijn per default veilig zijn ingesteld (geen poorten open bijv.) en je kan alles zonder als root te moeten draaien. Huis tuin en keuken gebruikers zitten dus goed.

* Unix gebruikers hebben over het algemeen meer technische kennis. Zij weten hoe zij hun veilige systeem veilig houden. Windows gebruikers hebben geen idee hoe ze hun lekke systeem moeten dicht timmeren, en gaan als Admin inloggen omdat het niet lukt om alles werkend te krijgen als gewone user.
Het fixen bij de makers is niet voldoende, en zij hebben al een paar maanden gehad. De sites zullen ook nog moeten worden gepatched, dit moet door de eigenaren worden gedaan. En kan dus ook nog wel even duren. Het zal dus wel een tijdje duren voor hij helemaal is verdwenen.
Het is volgens mij alleen een bug in de PEAR XML-RPC module van PHP, de sites maken hier alleen maar gebruik van. Ik neem i.i.g. niet aan dat een kopie van deze foute module bij dingen als postnuke. worden meegeleverd :?
Binnen paar dagen? Half augustus is mijn server gehacked via de xmlrpc van postnuke. De crackers hebben software geinstalleerd via wget (simpelste manier om van dat gat af te komen: hernoem wget naar iets anders, of pleur het er af, maar ja, wget is wel een verdraaid handig tooltje, niet alleen voor krakers).

Ik ben hierna aan het werk gegaan om de rommel op te ruimen, een perl-script te stoppen dat op jacht was naar het root wachtwoord, en het afsluiten van twee geinstalleerde backdoors. De server was weer online. Eindelijk. En anderhalf uur nadat de server online was, kwam er een security advisory via de email binnen van een of ander security buro: het ging over die xmlrpc. Fijn jongens, net te laat.

Was alles goed? Kennelijk niet. Want de een paar dagen later was de server weer down. Dit keer zodanig dat het ding van geen meter meer op kwam. Server opgehaald bij provider en de harddisk in een FreeBSD bak gepropt. De hele boot partitie aan gort. Een goede backup had ik alleen van de websites, niet van het OS. Dus opnieuw opbouwen? Nah... kheb de websites overgeheveld naar een provider. Ik heb genoeg van het steeds maar moeten vechten tegen die crackers die zo graag een porno distro server willen draaien en de server deel willen laten zijn van een DOS netwerk. Een ISP kan dit veel beter en heeft dit soort dingen ook beter en centraal georganiseerd. Ik betaal wel wat eurootjes daarvoor. Tis goed zo.
en zo hadden we een tweaker minder

may he rest in peace ;)
Je moet niet vergeten dat het al opgelost was door de developers. Het had al opgelost moeten zijn.

\[off-topic]
Niettemin klasse voor de virus-schrijver, het gebeurt niet vaak dat een virus kan gedijen op een *nix platform. Ik weet dat het illegaal is, maar sommige dingen zijn gewoon kunst.
\[/off-topic]

Dat linux moeilijker te targetten is door virus-schrijvers is een feit. Maar dat betekend niet dat we daarom achteruit mogen gaan zitten, dan krijg je dit soort dingen.
Als Linux (nog) meer gebruikers krijgt in de toekomst, zullen m.i. zeker ook de virussen (of wormen) meer en meer onder de aandacht komen.
Zoals gisteren al werd aangehaald.

Er bestaan veel meer apache webservers dan IIS en toch worden IIS servers meer aangevallen door al dit soort viri en worms. Hoe zou dat dan komen?

En zoals ik gisteren ook al zei:
De beveiliging van Unix systemen zit gewoon beter in één dan die van Windows. Je bent bijvoorbeeld niet standaard ADMIN!!!!
misschien wel maar als je naar de verhouding kijkt
12 bekende virus voor linux (waarvan er 8 alleen in een lab werken en de lekken die de rest gebruikt all lang gedicht zijn), en de 60.000+ virussen voor windows dan klopt dat totaal niet met de verhouding windows gebruikers/linux gebruikers.
een linux virus schrijven lijkt dus een stuk moeilijker te zijn. anders zou het wel vaker gebeuren.
Met meer gebruikers heeft een virusschrijver meer 'eer' van zijn of haar werk.
Vandaar dat bij een Unix OS dus daar wellicht niet eens aan begonnen wordt...?
Dat hangt er vanaf waar je kijkt, in de community zijn de challenges wel bekend. Dus met het maken van een succesvolle multi-platform polymorphic worm krijg je weldegelijk meer aanzien dan 'weer een w32-exploit'.

Het feit is dat je voor w32 als simpel script-kiddie als een virus kan schrijven. Voor *nix heb je daar over het algemeen wel wat meer voor nodig.
@UnbornSoul:
Wat heeft dat nu met webservers te maken?
Als je een request doet naar een webserver ben je "gast", toch geen admin?
Het maakt in zoverre uit, omdat de webserver (of de php-server in dit geval) wel als root kan draaien. En als er een bug zit in die server, kan je script (worm) dus ook met root-mogelijkheden werken. Dat is het vervelende.
Dit hoor ik vaker, maar als ik een virus-schrijver zou zijn, dan was de uitdaging een werkend stuk software te schrijven dat juist *ix of *ux systemen onderuit haalt een stuk groter dan alwéér zo'n win misbaksel. Al was het alleen maar omdat Unix en Linux gebruikers er graag over opscheppen (no offence!) dat hun systemen zo veilig zijn.

Ik krijg als leek op dit gebied echt de indruk dat *ix en *ux moeilijker neer te halen zijn.
Bij Windows ook niet. Alleen de Administrator is admin. Zelfde als de 'root' onder Linux. Het is aan de 'beheerder' van het systeem om users als admin of user aan te maken.

Zet een noob achter Windows, dan maakt die een admin aan. Lekker makkelijk. Zet een noob achter Linux, dan maakt ie een root aan. Lekker makkelijk.

Niks met OS te maken. Het OS is zo veilig als de gebruiker toestaat.
@ wim-bart

In windows is het dankzij veel software onmogelijk om restricted te draaien. games hebben hier vooral een handje van. zodra dit eens aangepast word dat alle software gewoon in usermode draait dan kan je in windows ook restricted gaan werken
een linux virus schrijven lijkt dus een stuk moeilijker te zijn. anders zou het wel vaker gebeuren.
Of er is gewoon een stuk minder interesse om een Linux virus / worm te maken dan een Windows virus / worm.
Je moet niet vergeten dat het al opgelost was door de developers. Het had al opgelost moeten zijn.
Totdat software automagisch zichzelf up to date houdt moeten de gebruikers van die software toch echt handmatig updates uitvoeren En als die gebruikers niet op de hoogte zijn van de noodzaak om te updaten gebeurt dat vaak niet.
Dat linux moeilijker te targetten is door virus-schrijvers is een feit.
Er is niets bijzonders aan een *nix virus.Probleem is dat het aantal gebruikers beperkt is en de kans op verspreiding dus kleiner. Maar zoals deze wom weer eens aantoont is het niet echt moeilijker om voor *nix een virus te maken dan voor Windows. Het aantal gebruikers is te laag om interessant te zijn. Technisch maakt het allemaal geen drol uit.
Ja, en PHP kan toch ook op Windows draaien? Of bestaat de lek niet in de Windows versie van PHP?
Ik had gister idd iets raars gezien in de log, nu kan ik het iig verklaren, dit is onder andere wat de worm doet:

[Tue Nov 08 15:14:32 2005] [error] [client *] File does not exist: D:/Web/www/awstats
[Tue Nov 08 15:14:44 2005] [error] [client *] File does not exist: D:/Web/www/stats
[Tue Nov 08 15:14:48 2005] [error] [client *] File does not exist: D:/Web/www/xmlrpc
[Tue Nov 08 15:14:49 2005] [error] [client *] File does not exist: D:/Web/www/xmlsrv
[Tue Nov 08 15:14:51 2005] [error] [client *] File does not exist: D:/Web/www/drupal
[Tue Nov 08 15:14:53 2005] [error] [client *] File does not exist: D:/Web/www/community
[Tue Nov 08 15:14:55 2005] [error] [client *] File does not exist: D:/Web/www/blogs
[Tue Nov 08 15:14:56 2005] [error] [client *] File does not exist: D:/Web/www/blog
[Tue Nov 08 15:14:57 2005] [error] [client *] File does not exist: D:/Web/www/blogtest
[Tue Nov 08 15:14:58 2005] [error] [client *] File does not exist: D:/Web/www/b2
[Tue Nov 08 15:15:00 2005] [error] [client *] File does not exist: D:/Web/www/b2evo
[Tue Nov 08 15:15:01 2005] [error] [client *] File does not exist: D:/Web/www/wordpress
[Tue Nov 08 15:15:02 2005] [error] [client *] File does not exist: D:/Web/www/phpgroupware
[Tue Nov 08 15:15:05 2005] [error] [client *] File does not exist: D:/Web/www/includer.cgi
[Tue Nov 08 15:15:06 2005] [error] [client *] script not found or unable to stat: D:/Web/Apache2/Apache2/cgi-bin/include
[Tue Nov 08 15:15:08 2005] [error] [client *] script not found or unable to stat: D:/Web/Apache2/Apache2/cgi-bin/inc
[Tue Nov 08 15:15:11 2005] [error] [client *] File does not exist: D:/Web/www/cgi-local
[Tue Nov 08 15:15:12 2005] [error] [client *] File does not exist: D:/Web/www/scgi-local
[Tue Nov 08 15:15:34 2005] [error] [client *] File does not exist: D:/Web/www/scgi-bin
[Tue Nov 08 15:15:35 2005] [error] [client *] File does not exist: D:/Web/www/hints
[Tue Nov 08 15:15:36 2005] [error] [client *] script not found or unable to stat: D:/Web/Apache2/Apache2/cgi-bin/hints
[Tue Nov 08 15:15:39 2005] [error] [client *] File does not exist: D:/Web/www/webhints
[Tue Nov 08 15:15:40 2005] [error] [client *] script not found or unable to stat: D:/Web/Apache2/Apache2/cgi-bin/webhints
[Tue Nov 08 15:15:41 2005] [error] [client *] File does not exist: D:/Web/www/scgi-bin

Btw, ik draai Windows
Dat je windows draait is duidelijk doorj e driveletters.

Ik vind die bots die mijn logs vervuilen trouwens ook ERG irritant. Leuk om te zien wie het heeft gedaan, maar meestal zijn het toch zombies. Dus je kan er niet veel mee.
Even tussen haakjes: dit is helemaal niets nieuws.
Als ik even m'n logboeken doorspit, kom ik al sinds 5 augustus soortgelijke aanvallen tegen. Ene moment xmlrpc.php, dan weer awstats, daarna wordpress en phpgroupware. Waar zichtbaar gebruiken ze allemaal wget of curl.

Het enige nieuwtje is dat ie nu wat sneller groeit.
\[root@stream:/usr/local/apache2/logs] # cat error_log |grep awstat |wc -l
331

:Z
In Non-windows humor, part 2 :) staat een leuk bericht hierover:

Weer even een pareltje (smaken verschillen, ik vond 'm super) van /. reacties. In dit geval, om het verband met Linux duidelijk te maken, in een topic over de PHP worm lupper.worm die in de pers als Linux worm door het leven gaat:

I'll tell you what, anyone wants some practice exploiting the hole, here's the IP address of a vulnerable machine to practice on: http://127.0.0.1/
Knock yourselves out :-)

met als reactie:

You know, if you link to a porn site, you could at least warn us.
Het is geen Linux worm, het is een PHP worm. Of eigenlijk strikt genomen, is het zelfs dat niet, het is een XML-RPC.php worm.

De worm kan ook prima uit te voeten met PHP op *BSD en met cygwin (niet helemaal ontdenkbaar voor scriptjes op je webserver) zou de worm zelfs windows kunnen pakken.

Bovendien moet je exec() aan hebben staan voor deze worm... wat automatisch 95% van de php-draaiende machines invulnerable maakt.
Tjeetje, een virus voor Linux, ik wist niet dat dat kon!

Vreemd hoor, als er iets mis is met de software van "onze grote vijand" MS tuimelt iedereen over elkaar heen om ze ritueel af te slachten, gaat er het *NIX platform iets mis wordt het blijkbaar bedekt met de mantel der liefde.

Liefde maakt blind zeker....
Het is ook geen virus voor Linux, het is een PHP worm. Niks mantel der liefde, gewoon weten waar het over gaat.
De worm werkt op dit moment alleen op Linux met wget geinstalleerd en met een door de webserver schrijfbare /tmp .
Als je de misbruikte programmas niet op standard locaties geinstalleerd hebt (zoals bijvoorbeeld /cgi-bin/awstats.pl), of PHP in SAFEMODE hebt staan, of geen wget hebt, zal deze worm niet bijzonder veel doen.
Liefde maakt blind zeker....
Het gaat niet om het feit dat er security bugs in bepaalde software zitten maar om hoe de eigenaar van die software daarmee omgaat.

En ook hoe de architectuur van software omgaat met security issues.
op een beetje goed ingestelde *nix server draaid de webserver onder een ander user account, en als het goed is eentje met zeer beperkte rechten.
dus zelfs als die worm een computer infecteert is het meesta zo dat hij nog weinig tot geen schade kan aanrichten.
Dit is juist een Windows virus hoor ... want PHP draait ook onder Windows.

(om maar even een gelijkwaardig zinnige reactie terug te geven)
Tjeetje, een virus voor Linux, ik wist niet dat dat kon!
Als het een besturingssysteem is, kun je er een virus voor schrijven... Toegegeven, voor het ene OS gaat dat makkelijker als voor het andere, maar in theorie kan voor alle besturingssystemen wel een virus gemaakt worden.

[ik weet het]
het gaat hier niet om een virus...
[/ik weet het]
Wel grappig om te zien. Nu het een worm is die het onder linux doet is het gelijk "Ja, maar het heeft weinig met linux te maken, maar met de webserver die er op draait". Maar als het een stukje software is wat onder Windows draait ligt het gelijk aan Windows en niet specifiek aan dat stukje software... *tok tok tok* rare jongens :D
Wel grappig om te zien. Nu het een worm is die het onder linux doet is het gelijk "Ja, maar het heeft weinig met linux te maken,
Sterker nog: het heeft helemaal niets te maken met Linux.
maar met de webserver die er op draait".
PHP+XML-RPC dus.
Maar als het een stukje software is wat onder Windows draait ligt het gelijk aan Windows en niet specifiek aan dat stukje software...
Misschien omdat dat stukje software in 99% van de gevallen gewoon deel uitmaakt van de standaardinstallatie van Windows?


XML-RPC is zoals ik eerder al zei geen onderdeel van een standaardinstallatie van de meeste Linux distros.
Nou eigenlijk niet.. als opeens blijkt dat Winzip een lek heeft, dan is dat ook een probleem voor Windows-gebruikers wanneer daar een worm voor geschreven wordt. Heeft dat wat met Windows te maken? Nee. Met Winzip dat een fout bevat.

Alleen gebruiken Windows-worms over het algemeen fouten in het besturingssysteem en niet in de applicaties, of in bijgevoegde applicaties zoals Outlook Express, die ook nog eens onder Administrator rechten gedraaid worden. Dit zal wel flink afnemen met de komst van Vista (of laten we het hopen in ieder geval).

Maargoed, het onderscheid lijkt me duidelijk. Zeker als daarbij gezegd wordt dat ook systemen die FreeBSD oid draaien in combinatie met bovenstaande softwarepakketten kwetsbaar zijn, en het dus geen Linux-specifieke worm is?`
Nou eigenlijk niet.. als opeens blijkt dat Winzip een lek heeft, dan is dat ook een probleem voor Windows-gebruikers wanneer daar een worm voor geschreven wordt. Heeft dat wat met Windows te maken? Nee. Met Winzip dat een fout bevat.

Volledig mee eens hoor, en ook het feit dat deze worm weinig/niets met linux te maken heeft. Was meer afgeven op het feit dat er altijd zoveel flamers zijn die onzin zitten te blehren als het om Windows gaat. Negen van de 10 keer zijn dat Linux gebruikers die zelf ooit eens 1 keer een Win95 bij iemand anders hebben gezien en zelf geen ruk verstand hebben van hoe Windows werkt.

En ja, de default settings onder windows zijn gewoon kut. Marketing beslissing enzo, dat geeft altijd problemen. :) Betekent niet dat het niet te beveiligen valt of het insecure is, alleen dat het insecure geconfigged staat (en een boel mensen de moeite niet doen om het goed in te stellen voor hun config)
Was meer afgeven op het feit dat er altijd zoveel flamers zijn die onzin zitten te blehren als het om Windows gaat. Negen van de 10 keer zijn dat Linux gebruikers die zelf ooit eens 1 keer een Win95 bij iemand anders hebben gezien en zelf geen ruk verstand hebben van hoe Windows werkt.
Dit is dus echt complete onzin (en volgens mij weet jij dat zelf ook). De gemiddelde Linux gebruiker heeft meer kennis van computers dan de gemiddelde Windows gebruiker, aangezien Linux eenmaal lastiger te gebruiken is. Daarnaast zijn er ontzettend veel mensen die verplicht Windows gebruiken op het werk en thuis draaien met Linux. En heel veel mensen die dual-booten. Sterker nog, iedereen die ik ken die een Linux machine gebruikt (hoofdgebruiker en de machine dus onderhoud) is HBO+ in een IT gerelateerde richting.
Was meer afgeven op het feit dat er altijd zoveel flamers zijn die onzin zitten te blehren als het om Windows gaat. Negen van de 10 keer zijn dat Linux gebruikers die zelf ooit eens 1 keer een Win95 bij iemand anders hebben gezien en zelf geen ruk verstand hebben van hoe Windows werkt.
Ik denk dat dit meer een vooroordeel is, ook een beetje fud om de gemiddelde windows-zealot zich goed te laten voelen als hij of zij voor de zoveelste keer een gebrek aan inhoudelijke argumenten heeft (dat is imho zoals ik het beleef)
Ha, en welk "stukje" bedoel je dan?
Internet Explorer, wat muurvast geïntegreerd is en wat in 100% van de installaties is meegeleverd?
Outlook Express, wat in 100% van de default installaties is meegeleverd, maar vervangen kan worden?
Of de tientallen programma's die vulnerable werden door een bug in de jpeg lib... de jpeg lib die in 100% van de default installaties wordt meegeleverd?

Wat meegeleverd wordt met de default windows install, en niet op een ander OS zou kunnen draaien, mag met recht onder 'windows' gerekend worden.
Maar als het een stukje software is wat onder Windows draait ligt het gelijk aan Windows
Maar daar speelt ook in mee, dat veel software met Windows wordt meegeleverd *door dezelfde fabrikant*. En veel fouten (waar virussen en worms dankbaar gebruik van maken) blijken vaak in meerdere opeenvolgende versies van Windows te zitten...
Als ik het goed begrijp en PHP is up-to-date, dan heeft deze worm geen invloed?

Met PHP 5.05 in safemode moet dat toch beveiligd zijn, anders vind ik PHP nog steeds lek.
Ik weet niet of dat waar is, maar dat gaat dan sowieso maar deels op. Bijvoorbeeld awstats gebruikt Perl, dus dan zal een PHP update weinig invloed hebben.
Als ik het goed begrijp en PHP is up-to-date, dan heeft deze worm geen invloed?
Zo staat het inderdaad wel in de tekst:
ondanks het feit dat de bugs in de php-bibliotheken enkele maanden geleden al opgelost werden.
Het is dus een exploit voor een bekende en al maanden geleden opgeloste bug.
Toont eens temeer aan dat het belangrijk is dat je je libraries gewoon een beetje up-to-date houdt.
Eenieder die door deze worm geinfecteerd raakt heeft dus niet opgelet. :)
Het kan zijn dat dit niet geldt voor enkele andere libraries ("Jammer genoeg zijn nog niet alle pakketten aangepast om weerstand te kunnen bieden tegen de worm"), die zullen snel met een oplossing (moeten) komen.
Neen, up to date zijn van de PHP-module zelf volstaat niet. Het zijn de PHP-webapplicatie die moeten up to date zijn (CMS'en, blogs, fotogallerijen, webmailapplicaties, ...).
wat mij verbaast is dat dit wormpje express designed is om onder *nix klonen te werken terwijl het ook prima onder windows zou kunnen werken met minimale aanpassingen en zo dus een veel groter effect/bereik zou kunnen hebben...

raar, waarom zou de worm schrijver dit hebben gedaan?
Unix heeft natuurlijk een tamelijk standaard filesysteem, wat het makkelijker maakt. Daarnaast is de penetratie van apache/php onder unix veel groter dan onder windows, zeker bij virtual server hosting bedrijven ed. Dus eigenlijk denk ik dat op dit gebied linux misschien wel groter is dan windows.
Er kunnen natuurlijk ook 'politieke' redenen achter zitten.
ja, php/apache is ongetwijfelt populairder op linux dan op windows. maar php werkt ook met apache op windows of als je wil met ook met IIS.
hoe dan ook, er zullen dus ook miljoenen windows pc'ees aan internet hangen waar php op draait, al betreft het maar over het algemeen simpele thuis gebruikers. het doel van zo'n worm is machines overnemen en zich zelf verder verspreiden. waarom zou die schrijver van die worm niet even met een paar extra regels code de worm ook win32 compatible hebben gemaakt en zo dus al die miljoenen extra targets hebben gehad?

mischien dat de schrijver alleen geinteresseerd is in het overnemen van bedrijfs servers om zo bedrijven te kunnen afpersen? of linux in een kwaad dag licht stellen... of..

vind het een eigenaardig zaakje.
maar ja mischien is de schrijver juist een linux fanaat en voeltie zich tegoed om win32 wormen te maken :+
Als ik een worm zou schrijven zou het automatisch ook een Linux worm worden. Ik ga mezelf toch niet frustreren door Windows te installeren en te leren om er een worm voor te programmeren.
Als ik zo iets wil doen doe ik het wel op een systeem dat ik ken.
Omdat hij Bill Gates heet?
ik vind een aantal reacties toch wel erg raar hoor
normaal hoor je meteen.. dit is een windows virus / worm. nu is het een linux worm en zegt iedereen, nee hoor PHP!

dat is mijns inziens niet zo, en het is dan ook wel degelijk een linux / *nix worm?

volgens mij hebben windows gebruikers met PHP geen last van deze worm, en daardoor is het wel degelijk een linux worm.

met een windows worm of virus wordt toch ook altijd het PLATFORM aangeduid?

ik vind deze reacties dan ook een beetje schijnheilig.

een worm die zich via kazaa verspreid of een ander programma, is dat dan ook GEEN windows worm?

Geblaat als: als het goed is dan heeft een linux admin zaakjes voor elkaar. ( geldt ook voor windows) slaat dius negrens op.
Geblaat als : windows virusen gebruiken een lek in het os, slaat dan ook nergens op. wie zegt dat je ie op een windows server hebt / laat staan? bereikbeaar hebt vanaf buiten / via php?
en dan nog is ie, of de software met het gat dan het os, of is het een programma dat met het os werkt, en toevallig standaard wordt geinstallerd?
als ik suse neem, en die standaard met alles laat instaleren, dan heb ik volgens mij ook wel php.
en ben je net zo ver
en voor iss 6.0 zijn tot op heden nog geen vulnerabilities gevonden volgens mij, dat in tegenstelling tot de laatste adache server.

je hoort mij natuurlijk hier niet zeggen dat er voor windows meer gaten zijn die zijn uitgebuit dan vor linux, en natuurlijk is het wel zo dat het niet zo lonend is ( economisch gezien) om iets met linux te doen, dan met windows.
maar als leverancier van het bewijs van een linux lek levert het je vast meer aanzien op, dan als schrijver van de zoveelste windows klik en run worm.

laten we aub achterwege wat "standaard"is en hoe slim gebruikers zijn. die roepen gewoon over zichzelf af wat ze verdienen.

kom op zeg
dat soort reacties is hier wel offtopic, onjuist en stemmingmakerij.
er bestaan meer besturingssystemen dan windows en eender welke linuxdistributie...
lee sdat er staat: linux *nix

toegegeven, waarbij ik ook de fout maak om aan te nemen dat een unix / bsd etc, admin in meer gevallen zijn server beter op orde heeft dan de gemiddelde wannabe linux "guru"

waaronder je een hele boel mensen moet scharen met een kleine website, gehost op een linux bak, met nog een horde andere gebruikers, dsie helemaal zelf verantwoordelijk zijn voor hun gedeelte en dus ook weinig kaas gegeten hebben van linux , maar gewoon iets nodig hebben om hun site "dynamisch"te maken

dat het virus een standaard *nix achtige machien als uitgangspunt neemt zegt dus wel dat het GEEN windows worm is, en zich rcht op de niet al te goed beveiligde servers.

dus alle php servers, de windows serversaftrekken, en dan ongeveer 95% daarvan draait linux.. zit ik dan ver uit de buurt?
denk het niet, ebn daarmee lijkt het me wel behoorlijk erg dicht in de buurt komen van een linux virus

ook niet ELKE windows machine is vatbaar voor ELKE windows worm
volgens mij hebben windows gebruikers met PHP geen last van deze worm, en daardoor is het wel degelijk een linux worm.
Zoals je in het log van AniMatrix hierboven kunt zien, worden Windows webservers ook aangevallen door deze worm. Wat ik uit het nieuwsbericht kan halen (en elders op 't web) maakt deze worm misbruik van bugs/exploits in PHP, AWStats en Webhints. Die werken echter alle drie op webservers, ongeacht het OS waar die op draaien.

Wat ik er echter niet uit kan halen, is hoe de worm de twee dingen doet om zichzelf te verspreiden; via poort 7222 of 7111 een bericht sturen naar de aanvaller, en de backdoor openen. Als dat via methodieken gebeurt die Linux eigen zijn en niet werken op een ander platform (worm komt wel binnen maar kan daarna niets doen), dan geef ik je groot gelijk om het een Linux-worm te noemen.

In 't kort zijn de bugs hier puur access points, hoe hij daarna te werk gaat is juist de vraag. Werkt dat op elk platform, of juist alleen Linux?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True