Apache/mod ssl червь за первые дни существования поразил более 10000 хостов

17 сентября 2002 года

Червь Slapper поражает только Apache/mod_ssl сервера работающие под ОС Linux, червь получает управление благодаря уязвимости недавно обнаруженной в OpenSSL.

Если у Вас Linux, Apache с установленным mod_ssl и OpenSSL версии меньше или равно 0.9.6d, то вам стоит немедленно обновить OpenSSL до последней версии или запретить работу с использованием SSLv2:

Меняем строку: SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+SSLv2 на SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!SSLv2

Методика заражения следующая: Slapper хаотично выбирает подсеть и перебирает все хосты в ней, определение наличия apache производится через посылку запроса:

GET /mod_ssl:error:HTTP-request HTTP/1.0

Если Apache обнаружен, осуществляется попытка доступа по 443 порту и в случае обнаружения уязвимой версии OpenSSL - производится инфицирование системы:

/tmp/.uubugtraq - копируется uuebcoded тело

/tmp/.bugtraq.c - после декодирования получается исходный текст на Си

/tmp/.bugtraq - после сборки - готовый к дальнейшему распространению червь

После активации на зараженном компьютере червь предпринимает посылку трафика на 2002 UDP порт на машину "родителя" с которой червь и проник в текущую систему (DDoS атака). Через этот же порт возможно удаленное управление червем.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Apache/mod_ssl червь за первые дни существования поразил более 10,000 хостов.», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.