Linux-worm vermenigvuldigt zich door lek XML-RPC

Het gebeurt niet vaak, maar dit keer wordt melding gemaakt van een worm die zich niet op het Windows-platform richt. Door middel van een lek in een aantal XML-RPC-implementaties slaagt de worm Linux.Plupii of Linux/Lupper erin zich over het internet te verspreiden. Deze kwetsbare componenten worden gebruikt in heel wat populaire php-software waaronder PostNuke, Drupal, Xoops, WordPress en TikiWiki. Gebruikers van deze software wordt dan ook aangeraden zo snel mogelijk te updaten. Jammer genoeg zijn nog niet alle pakketten aangepast om weerstand te kunnen bieden tegen de worm, ondanks het feit dat de bugs in de php-bibliotheken enkele maanden geleden al opgelost werden.

Robin Tux Andere software waarvan de malware gebruikmaakt is AWStats versie 5.0 tot en met 6.3 en Webhints versie 1.3. Als de Plupii-worm een server binnengedrongen is, stuurt hij automatisch een bericht naar de aanvaller via poort 7222 of 7111 en opent het een backdoor om de hacker toegang te geven tot het systeem. Tot slot genereert de worm een aantal url's waarmee hij op zoek gaat naar een nieuw slachtoffer.

Lees meer

IT-banen

Reacties (88)

Vectrox 9 november 2005 10:48

Dus je loopt alleen risico als je een server draait met PHP ?

Maar de dreiging is erg laag, en zal binnen nu en een paar dagen weer gedicht zijn door de verschillende distributeurs.

Verwijderd @Vectrox • 9 november 2005 10:51

poort 7222 en 7111 volledig dichtgooien en wachten op update, geen ramp

wel ironie: even geleden heeft instructeur gezecht dat er "geen" linux virussen zijn

curry684 @Verwijderd • 9 november 2005 12:24

Kaspersky kent er anders stiekem toch 853 voor Linux hoor.

LinuxMan @curry684 • 10 november 2005 09:04

Kaspersky kent er anders stiekem toch 853 voor Linux hoor.

Kent er 853 wat? koeien? schapen?

Ze kennen 853 wormen, die op producten werken die onder Linux kunnen draaien (maar ook macOSX, freeBSD, en zelfs vaak op windows), maar geen enkele is een virus, geen enkele weet root-rechten te behalen, en geen enkele is linux specifiek.

Verwijderd @curry684 • 10 november 2005 21:55

Er bestaan wel degelijk een aantal linux-virussen, alleen zijn die inderdaad vooral gevaarlijk als ze als root uitgevoerd worden. De meeste Windows-virussen zijn (op NT) ook pas gevaarlijk als ze als Administrator uitgevoerd worden...

terabyte @Verwijderd • 9 november 2005 11:08

wel ironie: even geleden heeft instructeur gezecht [sic!] dat er "geen" linux virussen zijn

Dit is ook helemaal geen Linux virus, want het is een worm die bovendien niets met de Linux kernel te maken.

Op BSD werkt het nl. ook. En misschien ook wel op Mac OS. (En mogelijk ook op Windows, zie bericht AniMatrix)

Het is een PHP/XML-RPC specifiek iets en heeft dus niet zoveel met Linux als OS te maken.

Bovendien behoort PHP/XML-RPC bij de meeste distro's niet tot de standaardinstallatie en de meeste mensen die Linux op hun desktop hebben draaien zullen dit ook niet geinstalleerd hebben.

maxxware @Verwijderd • 9 november 2005 11:03

Het is dan ook geen virus, maar een worm...

xortw @daft_dutch • 9 november 2005 15:56

Kom op he. Spreek alleen als je ergens verstand van hebt. Voor het uitvoeren van een programma met root rechten heb je (standaard) onder ubuntu nog steeds het volgende nodig: Ten eerste de sudo rechten (wat standaard alleen de eerste gebruiker heeft) en ten tweede nogmaals je wachtwoord. Dus niks 'virus die alleen maar sudo hoeft te commanderen'.

Whollabilla @daft_dutch • 9 november 2005 17:06

Het zou natuurlijk wel kunnen dat er een Linux-distro is die een root account standaard installeert zonder password

Zo heeft Knoppix naar mijn weten geen password voor root, en als je die dan op je harde schijf installeert... (Normale distro's zullen wel slimmer zijn en toch een wachtwoord vragen bij het installeren

)

klokop @daft_dutch • 9 november 2005 23:19

Ubuntu?

]Byte[ @Verwijderd • 9 november 2005 13:03

poort 7222 en 7111 volledig dichtgooien en wachten op update, geen ramp

standaard policy.... ALLES is al dicht behalve die poorten die je nodig hebt...
7111 en 7222 komen dus dan per definitie niet op die lijst.

Jack Flushell

@]Byte[ • 9 november 2005 15:24

Jouw standaard policy ja... niet van elke Linux-gebruiker!

Het is wel zo dat bij de meeste distributies de standaard policy is: alles dicht, behalve wat open moet. En bovendien zijn de meeste Linux-gebruikers op het moment niet zo a-digitaal als de meeste Windows gebruikers (no offence!), dus meestal staat het wel goed.

Sjonny @]Byte[ • 9 november 2005 22:04

het zijn poort 7111 en 7222 naar buiten toe he, niet naar binnen. dus je crippelt je eigen internet verbinding als je dat soort dicht gooit. (niet veel, maar goed...)

lvh @]Byte[ • 10 november 2005 07:19

... maar wel van iedere systeembeheerder die wat voorstelt en waar downtime een probleem zou kunnen zijn :-)

Services draaien op externe interfaces is sowieso al taboe tenzij je ze nodig hebt..

haling @Vectrox • 9 november 2005 10:58

Alleen PHP is niet voldoende. Je bent kwetsbaar als je van een softwarepakket dat geschreven is in PHP en van de (externe) XML-RPC library gebruik maakt.

en opent het een backdoor om de hacker toegang te geven tot het systeem

Standaard draait PHP in Linux onder een account dat bijna geen rechten heeft, behalve het lezen (en soms schrijven) in directories die nodig zijn om websites op je scherm te toveren...

skion @haling • 9 november 2005 11:06

Standaard draait PHP in Linux onder een account dat bijna geen rechten heeft, behalve het lezen (en soms schrijven) in directories die nodig zijn om websites op je scherm te toveren...

Dat lijkt me overdreven, een socket openen, email versturen, /etc/passwd lezen, etc etc mogen de meeste gebruikers wel... dus ook de gemiddelde user waaronder PHP draait...

RagaBaSH @skion • 9 november 2005 11:44

Dat lijkt me overdreven, een socket openen, email versturen, /etc/passwd lezen, etc etc mogen de meeste gebruikers wel... dus ook de gemiddelde user waaronder PHP draait...

meeste (goeie) sysadmins draaien op een *nix box apache met een user als "www" of "nobody" die geen shell heeft en bij voorkeur ook geen rechten tot alle files buiten de wwwroot. /etc/passwd lezen heb je al een tijdje niet zoveel meer aan (tenzij je graag de usernames op een box wil weten) aangezien de passwords in de root-readable-only file /etc/shadow staan.
en een socket openen mag nooit als non root op een poort onder de 1024 en als je een beetje security minded admin hebt staat er wel iets van grsec/snort/etc. te draaien in de achtergrond waardoor je ofwel verhinderd wordt een andere port te openen ofwel een berichtje krijgt als er een port geopend wordt..
email versturen is nog wel de laatste van je zorgen.

een beetje goeie admin heeft zijn bak allang afgesloten voor de onzin die je kan uithalen. dus naja.. eigen schuld dikke bult

SunnieNL

@skion • 9 november 2005 13:00

Het hele verhaal wat je hier vertelt geldt dus ook voor windows...
een beetje admin zorgt ervoor dat er een firewall op de server draait die niet bekende poorten niet naar buiten en binnen laat komen, een admin heeft een virusscanner draaien die zich minstens elke dag, maar het liefst elke paar uur update, een beetje admin geeft de anonieme webuser, iis en asp-net accounts alleen rechten om te lezen op directories waar deze alleen maar in hoeven te komen...

een beetje goeie admin heeft zijn windowsbak allang afgesloten voor alle onzin die virussen gebruiken om zooi uit te halen....

Linux, unix, mac os, etc... allemaal zijn ze afhankelijk van de admin voor het goed dichttimmeren van de zaak. De ontwikkelaar brengt updates/patches/etc. uit, maar de admin zal er voor moeten zorgen dat deze ook op de bak komt te staan.

Verwijderd @skion • 9 november 2005 21:05

De grote verschillen tussen Windows gebruikers en Unix gebruikers zijn alleen wel dat:

* Unix installaties zijn per default veilig zijn ingesteld (geen poorten open bijv.) en je kan alles zonder als root te moeten draaien. Huis tuin en keuken gebruikers zitten dus goed.

* Unix gebruikers hebben over het algemeen meer technische kennis. Zij weten hoe zij hun veilige systeem veilig houden. Windows gebruikers hebben geen idee hoe ze hun lekke systeem moeten dicht timmeren, en gaan als Admin inloggen omdat het niet lukt om alles werkend te krijgen als gewone user.

dotcode @Vectrox • 9 november 2005 10:54

Het fixen bij de makers is niet voldoende, en zij hebben al een paar maanden gehad. De sites zullen ook nog moeten worden gepatched, dit moet door de eigenaren worden gedaan. En kan dus ook nog wel even duren. Het zal dus wel een tijdje duren voor hij helemaal is verdwenen.

Sfynx @dotcode • 9 november 2005 13:18

Het is volgens mij alleen een bug in de PEAR XML-RPC module van PHP, de sites maken hier alleen maar gebruik van. Ik neem i.i.g. niet aan dat een kopie van deze foute module bij dingen als postnuke. worden meegeleverd

Rembert @Vectrox • 9 november 2005 13:35

Binnen paar dagen? Half augustus is mijn server gehacked via de xmlrpc van postnuke. De crackers hebben software geinstalleerd via wget (simpelste manier om van dat gat af te komen: hernoem wget naar iets anders, of pleur het er af, maar ja, wget is wel een verdraaid handig tooltje, niet alleen voor krakers).

Ik ben hierna aan het werk gegaan om de rommel op te ruimen, een perl-script te stoppen dat op jacht was naar het root wachtwoord, en het afsluiten van twee geinstalleerde backdoors. De server was weer online. Eindelijk. En anderhalf uur nadat de server online was, kwam er een security advisory via de email binnen van een of ander security buro: het ging over die xmlrpc. Fijn jongens, net te laat.

Was alles goed? Kennelijk niet. Want de een paar dagen later was de server weer down. Dit keer zodanig dat het ding van geen meter meer op kwam. Server opgehaald bij provider en de harddisk in een FreeBSD bak gepropt. De hele boot partitie aan gort. Een goede backup had ik alleen van de websites, niet van het OS. Dus opnieuw opbouwen? Nah... kheb de websites overgeheveld naar een provider. Ik heb genoeg van het steeds maar moeten vechten tegen die crackers die zo graag een porno distro server willen draaien en de server deel willen laten zijn van een DOS netwerk. Een ISP kan dit veel beter en heeft dit soort dingen ook beter en centraal georganiseerd. Ik betaal wel wat eurootjes daarvoor. Tis goed zo.

Verwijderd @Rembert • 10 november 2005 11:32

en zo hadden we een tweaker minder

may he rest in peace

psyBSD @Vectrox • 9 november 2005 10:55

Je moet niet vergeten dat het al opgelost was door de developers. Het had al opgelost moeten zijn.

[off-topic]
Niettemin klasse voor de virus-schrijver, het gebeurt niet vaak dat een virus kan gedijen op een *nix platform. Ik weet dat het illegaal is, maar sommige dingen zijn gewoon kunst.
[/off-topic]

Dat linux moeilijker te targetten is door virus-schrijvers is een feit. Maar dat betekend niet dat we daarom achteruit mogen gaan zitten, dan krijg je dit soort dingen.

Verwijderd @psyBSD • 9 november 2005 11:09

Als Linux (nog) meer gebruikers krijgt in de toekomst, zullen m.i. zeker ook de virussen (of wormen) meer en meer onder de aandacht komen.

Verwijderd @Verwijderd • 9 november 2005 12:46

Zoals gisteren al werd aangehaald.

Er bestaan veel meer apache webservers dan IIS en toch worden IIS servers meer aangevallen door al dit soort viri en worms. Hoe zou dat dan komen?

En zoals ik gisteren ook al zei:
De beveiliging van Unix systemen zit gewoon beter in één dan die van Windows. Je bent bijvoorbeeld niet standaard ADMIN!!!!

Countess @Verwijderd • 9 november 2005 11:27

misschien wel maar als je naar de verhouding kijkt
12 bekende virus voor linux (waarvan er 8 alleen in een lab werken en de lekken die de rest gebruikt all lang gedicht zijn), en de 60.000+ virussen voor windows dan klopt dat totaal niet met de verhouding windows gebruikers/linux gebruikers.
een linux virus schrijven lijkt dus een stuk moeilijker te zijn. anders zou het wel vaker gebeuren.

Verwijderd @Verwijderd • 9 november 2005 11:34

Met meer gebruikers heeft een virusschrijver meer 'eer' van zijn of haar werk.
Vandaar dat bij een Unix OS dus daar wellicht niet eens aan begonnen wordt...?

psyBSD @Verwijderd • 9 november 2005 11:49

Dat hangt er vanaf waar je kijkt, in de community zijn de challenges wel bekend. Dus met het maken van een succesvolle multi-platform polymorphic worm krijg je weldegelijk meer aanzien dan 'weer een w32-exploit'.

Het feit is dat je voor w32 als simpel script-kiddie als een virus kan schrijven. Voor *nix heb je daar over het algemeen wel wat meer voor nodig.

mieJas @Verwijderd • 9 november 2005 16:49

@UnbornSoul:
Wat heeft dat nu met webservers te maken?
Als je een request doet naar een webserver ben je "gast", toch geen admin?

willemd

@Verwijderd • 9 november 2005 19:28

Het maakt in zoverre uit, omdat de webserver (of de php-server in dit geval) wel als root kan draaien. En als er een bug zit in die server, kan je script (worm) dus ook met root-mogelijkheden werken. Dat is het vervelende.

Verwijderd @Verwijderd • 9 november 2005 20:00

Dit hoor ik vaker, maar als ik een virus-schrijver zou zijn, dan was de uitdaging een werkend stuk software te schrijven dat juist *ix of *ux systemen onderuit haalt een stuk groter dan alwéér zo'n win misbaksel. Al was het alleen maar omdat Unix en Linux gebruikers er graag over opscheppen (no offence!) dat hun systemen zo veilig zijn.

Ik krijg als leek op dit gebied echt de indruk dat *ix en *ux moeilijker neer te halen zijn.

silentsnake @Verwijderd • 9 november 2005 21:07

een linux virus schrijven lijkt dus een stuk moeilijker te zijn. anders zou het wel vaker gebeuren.

Of er is gewoon een stuk minder interesse om een Linux virus / worm te maken dan een Windows virus / worm.

Wim-Bart @Verwijderd • 10 november 2005 01:25

Bij Windows ook niet. Alleen de Administrator is admin. Zelfde als de 'root' onder Linux. Het is aan de 'beheerder' van het systeem om users als admin of user aan te maken.

Zet een noob achter Windows, dan maakt die een admin aan. Lekker makkelijk. Zet een noob achter Linux, dan maakt ie een root aan. Lekker makkelijk.

Niks met OS te maken. Het OS is zo veilig als de gebruiker toestaat.

Verwijderd @Verwijderd • 10 november 2005 11:26

@ wim-bart

In windows is het dankzij veel software onmogelijk om restricted te draaien. games hebben hier vooral een handje van. zodra dit eens aangepast word dat alle software gewoon in usermode draait dan kan je in windows ook restricted gaan werken

Verwijderd @psyBSD • 9 november 2005 19:36

Je moet niet vergeten dat het al opgelost was door de developers. Het had al opgelost moeten zijn.

Totdat software automagisch zichzelf up to date houdt moeten de gebruikers van die software toch echt handmatig updates uitvoeren En als die gebruikers niet op de hoogte zijn van de noodzaak om te updaten gebeurt dat vaak niet.

Dat linux moeilijker te targetten is door virus-schrijvers is een feit.

Er is niets bijzonders aan een *nix virus.Probleem is dat het aantal gebruikers beperkt is en de kans op verspreiding dus kleiner. Maar zoals deze wom weer eens aantoont is het niet echt moeilijker om voor *nix een virus te maken dan voor Windows. Het aantal gebruikers is te laag om interessant te zijn. Technisch maakt het allemaal geen drol uit.

microchip @Vectrox • 9 november 2005 10:52

Ja, en PHP kan toch ook op Windows draaien? Of bestaat de lek niet in de Windows versie van PHP?

KoalaBear84 9 november 2005 11:16

Ik had gister idd iets raars gezien in de log, nu kan ik het iig verklaren, dit is onder andere wat de worm doet:

[Tue Nov 08 15:14:32 2005] [error] [client *] File does not exist: D:/Web/www/awstats
[Tue Nov 08 15:14:44 2005] [error] [client *] File does not exist: D:/Web/www/stats
[Tue Nov 08 15:14:48 2005] [error] [client *] File does not exist: D:/Web/www/xmlrpc
[Tue Nov 08 15:14:49 2005] [error] [client *] File does not exist: D:/Web/www/xmlsrv
[Tue Nov 08 15:14:51 2005] [error] [client *] File does not exist: D:/Web/www/drupal
[Tue Nov 08 15:14:53 2005] [error] [client *] File does not exist: D:/Web/www/community
[Tue Nov 08 15:14:55 2005] [error] [client *] File does not exist: D:/Web/www/blogs
[Tue Nov 08 15:14:56 2005] [error] [client *] File does not exist: D:/Web/www/blog
[Tue Nov 08 15:14:57 2005] [error] [client *] File does not exist: D:/Web/www/blogtest
[Tue Nov 08 15:14:58 2005] [error] [client *] File does not exist: D:/Web/www/b2
[Tue Nov 08 15:15:00 2005] [error] [client *] File does not exist: D:/Web/www/b2evo
[Tue Nov 08 15:15:01 2005] [error] [client *] File does not exist: D:/Web/www/wordpress
[Tue Nov 08 15:15:02 2005] [error] [client *] File does not exist: D:/Web/www/phpgroupware
[Tue Nov 08 15:15:05 2005] [error] [client *] File does not exist: D:/Web/www/includer.cgi
[Tue Nov 08 15:15:06 2005] [error] [client *] script not found or unable to stat: D:/Web/Apache2/Apache2/cgi-bin/include
[Tue Nov 08 15:15:08 2005] [error] [client *] script not found or unable to stat: D:/Web/Apache2/Apache2/cgi-bin/inc
[Tue Nov 08 15:15:11 2005] [error] [client *] File does not exist: D:/Web/www/cgi-local
[Tue Nov 08 15:15:12 2005] [error] [client *] File does not exist: D:/Web/www/scgi-local
[Tue Nov 08 15:15:34 2005] [error] [client *] File does not exist: D:/Web/www/scgi-bin
[Tue Nov 08 15:15:35 2005] [error] [client *] File does not exist: D:/Web/www/hints
[Tue Nov 08 15:15:36 2005] [error] [client *] script not found or unable to stat: D:/Web/Apache2/Apache2/cgi-bin/hints
[Tue Nov 08 15:15:39 2005] [error] [client *] File does not exist: D:/Web/www/webhints
[Tue Nov 08 15:15:40 2005] [error] [client *] script not found or unable to stat: D:/Web/Apache2/Apache2/cgi-bin/webhints
[Tue Nov 08 15:15:41 2005] [error] [client *] File does not exist: D:/Web/www/scgi-bin

Btw, ik draai Windows

Brons @KoalaBear84 • 9 november 2005 11:34

Dat je windows draait is duidelijk doorj e driveletters.

Ik vind die bots die mijn logs vervuilen trouwens ook ERG irritant. Leuk om te zien wie het heeft gedaan, maar meestal zijn het toch zombies. Dus je kan er niet veel mee.

Verwijderd 9 november 2005 11:29

Even tussen haakjes: dit is helemaal niets nieuws.
Als ik even m'n logboeken doorspit, kom ik al sinds 5 augustus soortgelijke aanvallen tegen. Ene moment xmlrpc.php, dan weer awstats, daarna wordpress en phpgroupware. Waar zichtbaar gebruiken ze allemaal wget of curl.

Het enige nieuwtje is dat ie nu wat sneller groeit.

GrooV @Verwijderd • 9 november 2005 12:53

[root@stream:/usr/local/apache2/logs] # cat error_log |grep awstat |wc -l
331

Olaf van der Spek 9 november 2005 10:57

In Non-windows humor, part 2 :) staat een leuk bericht hierover:

Weer even een pareltje (smaken verschillen, ik vond 'm super) van /. reacties. In dit geval, om het verband met Linux duidelijk te maken, in een topic over de PHP worm lupper.worm die in de pers als Linux worm door het leven gaat:

I'll tell you what, anyone wants some practice exploiting the hole, here's the IP address of a vulnerable machine to practice on: http://127.0.0.1/
Knock yourselves out :-)

met als reactie:

You know, if you link to a porn site, you could at least warn us.

Verwijderd 9 november 2005 11:06

Het is geen Linux worm, het is een PHP worm. Of eigenlijk strikt genomen, is het zelfs dat niet, het is een XML-RPC.php worm.

De worm kan ook prima uit te voeten met PHP op *BSD en met cygwin (niet helemaal ontdenkbaar voor scriptjes op je webserver) zou de worm zelfs windows kunnen pakken.

Bovendien moet je exec() aan hebben staan voor deze worm... wat automatisch 95% van de php-draaiende machines invulnerable maakt.

Verwijderd 9 november 2005 11:03

Tjeetje, een virus voor Linux, ik wist niet dat dat kon!

Vreemd hoor, als er iets mis is met de software van "onze grote vijand" MS tuimelt iedereen over elkaar heen om ze ritueel af te slachten, gaat er het *NIX platform iets mis wordt het blijkbaar bedekt met de mantel der liefde.

Liefde maakt blind zeker....

Verwijderd @Verwijderd • 9 november 2005 11:13

Het is ook geen virus voor Linux, het is een PHP worm. Niks mantel der liefde, gewoon weten waar het over gaat.

Verwijderd @Verwijderd • 9 november 2005 11:47

De worm werkt op dit moment alleen op Linux met wget geinstalleerd en met een door de webserver schrijfbare /tmp .
Als je de misbruikte programmas niet op standard locaties geinstalleerd hebt (zoals bijvoorbeeld /cgi-bin/awstats.pl), of PHP in SAFEMODE hebt staan, of geen wget hebt, zal deze worm niet bijzonder veel doen.

Olaf van der Spek @Verwijderd • 9 november 2005 11:11

Liefde maakt blind zeker....

Het gaat niet om het feit dat er security bugs in bepaalde software zitten maar om hoe de eigenaar van die software daarmee omgaat.

En ook hoe de architectuur van software omgaat met security issues.

Countess @Verwijderd • 9 november 2005 11:32

op een beetje goed ingestelde *nix server draaid de webserver onder een ander user account, en als het goed is eentje met zeer beperkte rechten.
dus zelfs als die worm een computer infecteert is het meesta zo dat hij nog weinig tot geen schade kan aanrichten.

Cybje @Verwijderd • 9 november 2005 11:45

Dit is juist een Windows virus hoor ... want PHP draait ook onder Windows.

(om maar even een gelijkwaardig zinnige reactie terug te geven)

Pietervs

Bedrijfsnieuws

@Verwijderd • 9 november 2005 12:19

Tjeetje, een virus voor Linux, ik wist niet dat dat kon!
Als het een besturingssysteem is, kun je er een virus voor schrijven... Toegegeven, voor het ene OS gaat dat makkelijker als voor het andere, maar in theorie kan voor alle besturingssystemen wel een virus gemaakt worden.

[ik weet het]
het gaat hier niet om een virus...
[/ik weet het]

Verwijderd 9 november 2005 11:13

Wel grappig om te zien. Nu het een worm is die het onder linux doet is het gelijk "Ja, maar het heeft weinig met linux te maken, maar met de webserver die er op draait". Maar als het een stukje software is wat onder Windows draait ligt het gelijk aan Windows en niet specifiek aan dat stukje software... *tok tok tok* rare jongens

terabyte @Verwijderd • 9 november 2005 11:21

Wel grappig om te zien. Nu het een worm is die het onder linux doet is het gelijk "Ja, maar het heeft weinig met linux te maken,

Sterker nog: het heeft helemaal niets te maken met Linux.

maar met de webserver die er op draait".

PHP+XML-RPC dus.

Maar als het een stukje software is wat onder Windows draait ligt het gelijk aan Windows en niet specifiek aan dat stukje software...

Misschien omdat dat stukje software in 99% van de gevallen gewoon deel uitmaakt van de standaardinstallatie van Windows?

XML-RPC is zoals ik eerder al zei geen onderdeel van een standaardinstallatie van de meeste Linux distros.

Garyu @Verwijderd • 9 november 2005 11:20

Nou eigenlijk niet.. als opeens blijkt dat Winzip een lek heeft, dan is dat ook een probleem voor Windows-gebruikers wanneer daar een worm voor geschreven wordt. Heeft dat wat met Windows te maken? Nee. Met Winzip dat een fout bevat.

Alleen gebruiken Windows-worms over het algemeen fouten in het besturingssysteem en niet in de applicaties, of in bijgevoegde applicaties zoals Outlook Express, die ook nog eens onder Administrator rechten gedraaid worden. Dit zal wel flink afnemen met de komst van Vista (of laten we het hopen in ieder geval).

Maargoed, het onderscheid lijkt me duidelijk. Zeker als daarbij gezegd wordt dat ook systemen die FreeBSD oid draaien in combinatie met bovenstaande softwarepakketten kwetsbaar zijn, en het dus geen Linux-specifieke worm is?`

Verwijderd @Garyu • 9 november 2005 11:37

Nou eigenlijk niet.. als opeens blijkt dat Winzip een lek heeft, dan is dat ook een probleem voor Windows-gebruikers wanneer daar een worm voor geschreven wordt. Heeft dat wat met Windows te maken? Nee. Met Winzip dat een fout bevat.

Volledig mee eens hoor, en ook het feit dat deze worm weinig/niets met linux te maken heeft. Was meer afgeven op het feit dat er altijd zoveel flamers zijn die onzin zitten te blehren als het om Windows gaat. Negen van de 10 keer zijn dat Linux gebruikers die zelf ooit eens 1 keer een Win95 bij iemand anders hebben gezien en zelf geen ruk verstand hebben van hoe Windows werkt.

En ja, de default settings onder windows zijn gewoon kut. Marketing beslissing enzo, dat geeft altijd problemen.

Betekent niet dat het niet te beveiligen valt of het insecure is, alleen dat het insecure geconfigged staat (en een boel mensen de moeite niet doen om het goed in te stellen voor hun config)

TheGhostInc @Verwijderd • 9 november 2005 12:28

Was meer afgeven op het feit dat er altijd zoveel flamers zijn die onzin zitten te blehren als het om Windows gaat. Negen van de 10 keer zijn dat Linux gebruikers die zelf ooit eens 1 keer een Win95 bij iemand anders hebben gezien en zelf geen ruk verstand hebben van hoe Windows werkt.
Dit is dus echt complete onzin (en volgens mij weet jij dat zelf ook). De gemiddelde Linux gebruiker heeft meer kennis van computers dan de gemiddelde Windows gebruiker, aangezien Linux eenmaal lastiger te gebruiken is. Daarnaast zijn er ontzettend veel mensen die verplicht Windows gebruiken op het werk en thuis draaien met Linux. En heel veel mensen die dual-booten. Sterker nog, iedereen die ik ken die een Linux machine gebruikt (hoofdgebruiker en de machine dus onderhoud) is HBO+ in een IT gerelateerde richting.

blouweKip @Verwijderd • 9 november 2005 14:36

Was meer afgeven op het feit dat er altijd zoveel flamers zijn die onzin zitten te blehren als het om Windows gaat. Negen van de 10 keer zijn dat Linux gebruikers die zelf ooit eens 1 keer een Win95 bij iemand anders hebben gezien en zelf geen ruk verstand hebben van hoe Windows werkt.

Ik denk dat dit meer een vooroordeel is, ook een beetje fud om de gemiddelde windows-zealot zich goed te laten voelen als hij of zij voor de zoveelste keer een gebrek aan inhoudelijke argumenten heeft (dat is imho zoals ik het beleef)

Verwijderd @Verwijderd • 9 november 2005 11:20

Ha, en welk "stukje" bedoel je dan?
Internet Explorer, wat muurvast geïntegreerd is en wat in 100% van de installaties is meegeleverd?
Outlook Express, wat in 100% van de default installaties is meegeleverd, maar vervangen kan worden?
Of de tientallen programma's die vulnerable werden door een bug in de jpeg lib... de jpeg lib die in 100% van de default installaties wordt meegeleverd?

Wat meegeleverd wordt met de default windows install, en niet op een ander OS zou kunnen draaien, mag met recht onder 'windows' gerekend worden.

Pietervs

Bedrijfsnieuws

@Verwijderd • 9 november 2005 13:24

Maar als het een stukje software is wat onder Windows draait ligt het gelijk aan Windows
Maar daar speelt ook in mee, dat veel software met Windows wordt meegeleverd *door dezelfde fabrikant*. En veel fouten (waar virussen en worms dankbaar gebruik van maken) blijken vaak in meerdere opeenvolgende versies van Windows te zitten...

pierre-oord 9 november 2005 10:52

Als ik het goed begrijp en PHP is up-to-date, dan heeft deze worm geen invloed?

Met PHP 5.05 in safemode moet dat toch beveiligd zijn, anders vind ik PHP nog steeds lek.

Cybje @pierre-oord • 9 november 2005 10:55

Ik weet niet of dat waar is, maar dat gaat dan sowieso maar deels op. Bijvoorbeeld awstats gebruikt Perl, dus dan zal een PHP update weinig invloed hebben.

Cyphax Moderator NOS @pierre-oord • 9 november 2005 10:56

Als ik het goed begrijp en PHP is up-to-date, dan heeft deze worm geen invloed?

Zo staat het inderdaad wel in de tekst:

ondanks het feit dat de bugs in de php-bibliotheken enkele maanden geleden al opgelost werden.

Het is dus een exploit voor een bekende en al maanden geleden opgeloste bug.
Toont eens temeer aan dat het belangrijk is dat je je libraries gewoon een beetje up-to-date houdt.
Eenieder die door deze worm geinfecteerd raakt heeft dus niet opgelet.

Het kan zijn dat dit niet geldt voor enkele andere libraries ("Jammer genoeg zijn nog niet alle pakketten aangepast om weerstand te kunnen bieden tegen de worm"), die zullen snel met een oplossing (moeten) komen.

freggy @pierre-oord • 9 november 2005 11:09

Neen, up to date zijn van de PHP-module zelf volstaat niet. Het zijn de PHP-webapplicatie die moeten up to date zijn (CMS'en, blogs, fotogallerijen, webmailapplicaties, ...).

GiLuX 9 november 2005 12:06

wat mij verbaast is dat dit wormpje express designed is om onder *nix klonen te werken terwijl het ook prima onder windows zou kunnen werken met minimale aanpassingen en zo dus een veel groter effect/bereik zou kunnen hebben...

raar, waarom zou de worm schrijver dit hebben gedaan?

frozensky_ @GiLuX • 9 november 2005 13:07

Unix heeft natuurlijk een tamelijk standaard filesysteem, wat het makkelijker maakt. Daarnaast is de penetratie van apache/php onder unix veel groter dan onder windows, zeker bij virtual server hosting bedrijven ed. Dus eigenlijk denk ik dat op dit gebied linux misschien wel groter is dan windows.
Er kunnen natuurlijk ook 'politieke' redenen achter zitten.

GiLuX @frozensky_ • 9 november 2005 13:31

ja, php/apache is ongetwijfelt populairder op linux dan op windows. maar php werkt ook met apache op windows of als je wil met ook met IIS.
hoe dan ook, er zullen dus ook miljoenen windows pc'ees aan internet hangen waar php op draait, al betreft het maar over het algemeen simpele thuis gebruikers. het doel van zo'n worm is machines overnemen en zich zelf verder verspreiden. waarom zou die schrijver van die worm niet even met een paar extra regels code de worm ook win32 compatible hebben gemaakt en zo dus al die miljoenen extra targets hebben gehad?

mischien dat de schrijver alleen geinteresseerd is in het overnemen van bedrijfs servers om zo bedrijven te kunnen afpersen? of linux in een kwaad dag licht stellen... of..

vind het een eigenaardig zaakje.
maar ja mischien is de schrijver juist een linux fanaat en voeltie zich tegoed om win32 wormen te maken

CAPSLOCK2000 @GiLuX • 10 november 2005 17:10

Als ik een worm zou schrijven zou het automatisch ook een Linux worm worden. Ik ga mezelf toch niet frustreren door Windows te installeren en te leren om er een worm voor te programmeren.
Als ik zo iets wil doen doe ik het wel op een systeem dat ik ken.

aval0ne @GiLuX • 9 november 2005 12:26

Omdat hij Bill Gates heet?

roytanck 9 november 2005 10:50

http://wordpress.org/deve...5/11/wordpress-is-secure/

Sinds versie 1.5 is WordPress al niet meer gevoelig hiervoor.

Op dit item kan niet meer gereageerd worden.

Linux-worm vermenigvuldigt zich door lek XML-RPC

Lees meer

IT-banen

Reacties (88)

Sorteer op:

Weergave: