Estas aquiContenido / Nuevo gusano ataca servidores Linux
Nuevo gusano ataca servidores Linux
Están apareciendo informes de un nuevo gusano para servidores Linux que explota la reciente vulnerabilidad de XML-RPC descubierta en muchos sistemas de gestión de contenidos (Drupal, Wordpress y PostNuke, entre otros), así como un par de vulnerabilidades existentes en AWStats Rawlog Plugin y Webhints.
Denominado Linux/Lupper, este gusano busca sistemas que no hayan parcheado las vulnerabilidades mencionadas y dispongan de los scripts PHP/CGI vulnerables. Para ello escanea indiscriminadamente servidores web enviando peticiones maliciosas al puerto 80. Si encuentra un servidor víctima, y éste además le proporciona facilidades para instalarse, descarga e instala una copia y desde ahí comienza la búsqueda de nuevos servidores susceptibles. Todo ello se dirige a la creación de una red de máquinas zombis, capaces de obedecer comandos remotos.
La mejor forma de comprobar si se está infectado es observar la existencia del fichero /tmp/lupii, así como de un puerto UDP 7222 a la escucha, donde el gusano abre una puerta trasera...
Más información:
Bueno, ya hemos llegado a los gusanos, aunque el parche es tan rápido como actualizar los programas implicados (lo que hace cualquier administrador decente casi automáticamente) y el susudicho no accede a la máquina con privilegios de superusuario (salvo que un administrador incompetente ejecute los CMS como root).
¿Para cuando un verdadero virus en Linux? Al final van a tener razón los que decían que si no había virus era porque el parque de máquinas Linux era tan reducido que no llamaba la atención de los 'viruseros'.
Además, ahora que el parque crece, el nivel de los administradores baja con ello (instalaciones "Siguiente Siguiente Siguiente", etc.), con lo que aunque el sistema sea potencialmente seguro, la incompetencia produce que hayas máquinas sin actualizar (o directamente mal configuradas), luego inseguras. Aunque utilicemos un hipotético "CompletamenteSeguro OS" el problema siempe será la falibilidad de las "unidades de carbono", como decía Veger en aquel Star Trek I.
Instalaciones 'à la' Windows + Administradores 'à la' Windows = Desastre 'à la' Windows (con o sin Windows).
Y lo peor: la falsa sensación de seguridad de pensar "Mi máquina es segura porque usa Linux", falaz donde las haya, sobre todo frente a "Mi máquina es segura porque me preocupo de administrarla bien", OS-independiente.
No estoy de acuerdo con lo que dices, pero defenderé con mi vida tu derecho a decirlo.
- Voltaire -
No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo.
- Voltaire -
UNIX fue pionero en tener gusanos y Linux es su descendiente por línea directa.
El primer gusano de Internet fue el gusano de Morris, que en 1988 infectó entre 2000 y 6000 ordenadores -de la época- en menos de un día aprovechando un buffer overflow.
En aquel entonces Windows no había nacido (aunque a alguno le parezca mentira, se puede vivir sin Windows. Palabra.).
De hecho UNIX también fue pionero en tener rootkits, como ya se ha comentado por aquí abundantemente.
La máquina desde la que escribo, como otras muchas máquinas linux conectadas a internet, no están siriviendo web, que es de por si un riesgo importante, más si se le añade un php vulnerable. Sin embargo sí hemos visto gusanos en windows hacer destrozos de punta a punta de planeta sólo con abrir el correo electrónico. Tanto un operativo como otro parecen apuntar en la dirección correcta (siendo benévolos), pero parece que linux lleva una cierta delantera ya que desde el diseño básico los ficheros y procesos tienen un importante grado de protección. Sin embargo, iniciativas como la de hacer servidores X que sólo funcionen procesos de usuario son en Windows bastante poco imaginables (porque la capa gráfica está enmarañada con el kernel y demas cosas).
Pero sí me parece interesante y muy correcto el comentario sobre la falta de gente preparada que haga una administración decente, que sí puede llevar al desastre cualquier sistema (incluso OpenVms :-D), de todas formas, los inexpertos se decantan habitualmente por distribuciones de fácil instalación y uso pensadas para ellos y por tanto, bastante más protegidas por defecto.
Lo segundo que quería comentar es esta noticia de los desarrolladores de Wordpress
"WordPress 1.5 or higher is safe. Since the release of version 1.5, WordPress has used a completely different XML-RPC library, called IXR"
Un capón para los chicos de bugtraq, por pasarse (esta vez) de listillos ;-)
Hay una reseña en Kriptópolis sobre este bug y sólo las versiones a partir de la 1.5.1.3 son seguras. Otro tanto ocurre en Drupal y en el resto de CMS que utilizan el dichoso script. Todos sacaron versiones con el fallo ya corregido. Por eso el gusano busca sólo versiones susceptibles.
"....Y lo peor: la falsa sensación de seguridad de pensar "Mi máquina es segura porque usa Linux", falaz donde las haya, sobre todo frente a "Mi máquina es segura porque me preocupo de administrarla bien", OS-independiente."
Esa es la clave de la cuestion, felicidades.
No se puede decir mas conciso y mas claro.
Mis respetos
Tengo montado en mi pc de escritorio un Apache que sirve algunas páginas y fotos a amigos. El cabrón del gusano se intenta meter, pero menos mal que no tengo montado ninguno de los scripts que se mencionan:
root@anarres:/var/log/apache# cat access.log | grep xmlrpc
...
61.19.31.42 - - [08/Nov/2005:21:15:14 +0100] "POST
/xmlsrv/xmlrpc.php HTTP/1.1" 404 294 "-" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1;)"
Y esto es sólo una de las muchas entradas...
Por cierto, ¿alguien sabe cómo localizar esa IP?
SKS, criptografía de curva elíptica de bolsillo
http://pagina.de/sks
SKS, criptografía de curva elíptica de bolsillo
http://sks.merseine.nu
http://www.samspade.org
Selecciona: Whois -> Ripe.net