Acho que isso � relevante para nossa lista.
--------------------------------------------------------------------------% -------- Mensagem Original -------- Assunto: SEGURAN�A: Re: Linux.Slapper.Worm, um worm P2P para servidores Apache. Data: Mon, 16 Sep 2002 23:04:48 +0100 Para: S�rgio Ara�jo <[EMAIL PROTECTED]> Responder Para: <[EMAIL PROTECTED]>(Seguran�a inform�tica) Para: <[EMAIL PROTECTED]>(Seguran�a inform�tica) Cumprimentos, Xsecurity.ws wrote: > Um novo worm denominado de Linux.Slapper.Worm tem estado a propagar-se > nas �ltimas 48 horas pela Internet, explorando uma vulnerabilidade nos > protocolos OpenSSL utilizados por servidores como Linux Apache. Segundo a IT World, dois grandes ISP's americanos suspenderam temporariamente as suas opera��es, devido a este problema. > As falhas exploradas, foram publicadas em finais do passado m�s de > Julho, pelo "The OpenSSL Group", mesmo assim ainda existem bastantes > utilizadores que n�o actualizaram as suas vers�es. O problema tinha sido noticiado nesta lista a 30 de Julho (ver http://mail.projecto-oasis.cx:81/Lists/seguranca/Message/331.html): > Sexta-feira, primeiro dia que foi reportado, chegou a mais de 2000 > infec��es detectadas em Portugal e Rom�nia, pa�ses onde ocorreram as > primeiras infec��es. Isto � interessante... > O worm pode infectar servidores Linux com software Red Hat, Mandrake, > Caldera, Slackware e Debian, cujos protocolos SSL (Secure Sockets > Layer) do grupo OpenSSL n�o estejam actualizados na vers�o 0.9.6g. > Esta vers�o soluciona a falha reportada em Junho no OpenSSL, na qual > impede o funcionamento do worm. Todos esses fabricantes disponibilizaram correc��es, pelo que s� os irrespons�veis s�o afectados. Os utilizadores de distribui��es Linux n�o enunciadas podem, simplesmente, substituir a biblioteca libssl.so por uma n�o vulner�vel (cortesia de Gerald Waugh <[EMAIL PROTECTED]>): 1) ssh to server 2) su - 3) cd /usr/local/src 4) wget http://www.openssl.org/source/openssl-engine-0.9.6g.tar.gz 5) tar -zxvf openssl-engine-0.9.6g.tar.gz 6) rm openssl-engine-0.9.6g.tar.gz 7) cd openssl-engine-0.9.6g 8) ./configure 9) make 10) make install (puts ssl in /usr/local/ssl, won't hurt) 11) wget http://www.apache.org/dist/httpd/old/apache_1.3.20.tar.gz 12) tar -zxvf apache_1.3.20.tar.gz 13) rm apache_1.3.20.tar.gz 14) wget http://www.modssl.org/source/mod_ssl-2.8.4-1.3.20.tar.gz 15) tar -zxvf mod_ssl-2.8.4-1.3.20.tar.gz 16) rm mod_ssl-2.8.4-1.3.20.tar.gz 17) cd mod_ssl-2.8.4-1.3.20 18) ./configure --with-apache=../apache_1.3.20/ \ --with-apxs=/usr/sbin/apxs \ --with-ssl=../openssl-engine-0.9.6g 19) cp /etc/httpd/modules/libssl.so /etc/httpd/modules/libssl.so.save 20) cp pkg.sslmod/libssl.so /etc/httpd/modules/ 21) /etc/rc.d/init.d/httpd restart > O Linux.Slapper.Worm explora um desdobramento de buffer no software > OpenSSL, para executar uma shell no sistema infectado. "1. A chave do cliente, na vers�o 2 do SSL, pode ser passada ao servidor de forma a provocar um "overflow"". > O worm tenta conectar-se atrav�s da porta 90 com instru��es GET > inv�lidas, para detectar o sistema (servidor Apache Linux). Referes-te � porta 80, a porta onde o Apache atende pedidos, certo ? O Slapper envia um pedido do tipo "GET / HTTP/1.1", ao que o Apache responde algo como: "HTTP/1.1 400 Bad Request Date: Fri, 13 Sep 2002 10:24:13 GMT Server: Apache/1.3.22 (Unix) (Red-Hat/Linux) Connection: close Transfer-Encoding: chunked Content-Type: text/html; charset=iso-8859-1" A an�lise da linha "Server:" revela que se trata de um Apache, pelo que � imediatamente considerado como uma v�tima v�lida. Este racioc�cio � demasiado simplista, porque pode tratar-se de um Apache sem suporte a SSL, e, portanto, n�o vulner�vel. � boa pol�tica esconder esta informa��o, adicionando "ServerTokens None" ao ficheiro de configura��o do Apache (/etc/httpd/conf/httpd.conf). > Logo, tentar� uma conex�o atrav�s da porta TCP 443, enviando c�digos > que permitem monitorizar a presen�a de um servidor SSL na m�quina > infectada. Correcto. > O worm cria uma c�pia de s� mesmo em /tmp/.uubugtraq, e utiliza a sua > pr�pria rotina de desencripta��o (comando UU encoding), se descodifica > para o ficheiro /tmp/.buqtraq.c. > > A �nica maneira de mostrar o ficheiro .buqtraq.c � com o comando "ls" > com o parametro "-a" (ls-a). > > Depois, o worm utiliza o compilador gcc para cira uma c�pia execut�vel > de si mesmo em /tmp/.bugtraq. > > Este bin�rio � executado com uma direc��o IP como par�metro. Este > endere�o IP corresponde � m�quina do atacante e utiliza-se para criar > uma rede de sistema infectados pelo worm com o prop�sito de executar > ataques de Nega��o de Servico, DoS. A rede de sistemas afectados comunica entre si atrav�s da porta 2002, pelo que o resultado de um "nmap -sU -p 2002" deve mostrar alguma coisa. > O worm s� funciona em computadores com processador Intel, > executando-se nas seguintes distribui��es Linux, e com o servidor > Apache e OpenSSL anterior � vers�o 0.9.6g activados: > > Red Hat > SuSE > Mandrake > Slackware > Debian A altera��o do Slapper para outras plataformas � trivial, devemos presumir que outras vers�es foram criadas. Anexo uma "script", da autoria de Glen Scott <[EMAIL PROTECTED]>, capaz de analisar os registos do Apache, (em /var/log/httpd/error), e pesquisar por "visitas" do Slapper. Anexo tamb�m a pr�pria "worm". Divirtam-se ;) Cordialmente, -- S�rgio Ara�jo 3G - NetWorks <[EMAIL PROTECTED]> Projecto O�sis <[EMAIL PROTECTED]> Tel: +351 252 374979 Fax: +351 252 317259 Ignorance more frequently begets confidence than does knowledge. Darwin, C. (1871). The descent of man. Sou apaixonado por sistemas UNIX :-) Estou precisando de um ESTAGIO, Se vc procura um funcionario dinamico e de aprendizado THE FLASH. ... Suas buscas terminaram, junto com minha depressao :-) Preferencia por BSD, vagas em SP..
msg00306/pgp00000.pgp
Description: PGP signature
