[FUGSPBR] Re: [freebsd] Re: [FUGSPBR] Vírus Scalper ataca servidores Apache

Vitor de M. Carvalho vitor em softinfo.com.br
Ter Jul 2 20:09:07 BRT 2002


Boa Noite...

Me digam uma coisa com relacao a atualizar o apache.

Qual a vantagem de migrar da versao 1.x.x para a versao 2.x?

Queria saber a opniao de quem mirgrou para ela para saber se realmente
vale a pena migrar ou se eh melhor esperar mais um pouco.


 Atenciosamente,
 Vitor de Matos Carvalho
 System Network Administrator - Softinfo Network
 FreeBSD - The Power To Serve
 ICQ - 41747397
On Tue, 2 Jul 2002, Nelson Murilo wrote:

> On Mon, Jul 01, 2002 at 06:16:03PM -0300, Patrick Tracanelli wrote:
> > - Esse vírus é meio ridículo não é não?
>
> Algum nao e'?
>
> > Então, pra forçar ainda mais a barra, e se a gente, depois disso ai desse um
> >
> >  chflags schg /tmp/.a
> >  chflags schg /tmp/.uaa
> >
> > E ai? Nem os irresponsaveis que por ventura - duvido que tenha alguem -
> > rodem o apache como root vao conseguir instalar o virus certo? Pelo que
> > me consta, esse virus não tem a capacidade de alterar modos ou alterar
> > security flags do sistema ;-)
>
> Tem alguns problemas, rotinas que removem ou refazem o /tmp a cada reboot,
> entre outras.
>
> Tambem nao e' escalavel, outros worms (e nao virus) podem
> surgir, usar outros diretorios e nomes diferentes, inclusive
> randomicos.
> A solucao obvia de atualizar o apache nao parece ser problema,
> mesmo com modulos exoticos e vhosts, os que acompanhei tem
> tem funcionado tranquilo tem mais de uma semana, inclusive os que rodavam
> 1.3.x e passaram pro 2.0.x.
>
> A prevencao de futuros problemas desse tipo parece ser rodar (tambem) o
> apache em modo restrito (man jail).
>
> ./nelson -murilo
> http://www.segurancanacional.com.br
>
>
> > Alguma vítima brasileira se dispõe a fazer o teste antes de atualizar
> > seu apache? ;-)
> >
> >  Paz Profunda,
> > Patrick Tracanelli
> >
> > --
> > +-----------------------------------------------+---------+
> > | Patrick Leandro Tracanelli do Carmo           | (   )   |
> > | Parallel Processing & BSD Unix enthusiastic   | (O_O)   |
> > | FreeBSD 5.0-CURRENT i386 SMP #21              | \`-'/  w|
> > | Faculdade de Tecnologia Taquaritinga / Unesp  | (   )__||
> > |===============================================| /m`m\   |
> > | eksffa em bsd.com.br, eksffa em fatectq.com.br      | FreeBSD |
> > +-----------------------------------------------+---------+
> > Long live Hanin Elias, Kim Deal!!! ;-)
> > ~
> > ~
> >
> > Max wrote:
> > >http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1025537768,61159,/
> > >
> > >Vírus Scalper ataca servidores Apache
> > >1/7/2002 - 12:36 Giordani Rodrigues
> > >
> > >Foi criado o primeiro vírus capaz de infectar servidores Apache
> > >vulneráveis.
> > >Batizado de FreeBSD.Scalper.Worm, Elf_Scalper.A, ou simplesmente Scalper,
> > >além de outros nomes, o worm se aproveita do bug chamado "chunked
> > >encoding",
> > >recentemente descoberto no Apache.
> > >
> > >O bug atinge uma funcionalidade do servidor responsável pela codificação de
> > >blocos de dados ("chunked encoding"), permitindo a execução de códigos
> > >arbitrários ou ataques de negação de serviço na máquina afetada.
> > >
> > >Aproveitando-se dessa brecha, o Scalper (que significa "aquele que executa
> > >um escalpo", tortura que foi comum entre os índios Apache) é capaz de
> > >instalar um arquivo que dá acesso não-autorizado ao servidor, enviar spam,
> > >rastrear outras máquinas vulneráveis, sobrecarregar e degradar a
> > >performance
> > >da máquina atingida.
> > >
> > >O Scalper foi projetado para se disseminar em servidores Apache rodando em
> > >sistema operacional FreeBSD, mas os especialistas avisam que o worm pode
> > >ser
> > >adaptado para funcionar em outros sistemas. A Symantec, por exemplo,
> > >informa
> > >que já identificou duas variantes do vírus. Após ganhar acesso ao servidor,
> > >o Scalper cria o arquivo temporário "/tmp/.uua", que é o próprio vírus
> > >codificado em UUEncode (formato universal para transferência de arquivos
> > >entre várias plataformas, como Unix, Windows e Macintosh). Em seguida, o
> > >arquivo é decodificado como "/tmp/.a" e executado. O arquivo ".uaa" é então
> > >deletado.
> > >
> > >Neste ponto, o worm instala uma backdoor (programa espião) na porta 2001 e
> > >passa a rastrear outros servidores vulneráveis em redes de Classe A,
> > >segundo
> > >a F-Secure. Os IPs das redes de Classe A vão de 1.x.x.x a 126.x.x.x; os de
> > >Classe B, de 128.x.x.x a 191.x.x.x; e os de classe C, de 192.x.x.x a
> > >223.x.x.x. Normalmente, os IPs brasileiros começam com 200 e, portanto,
> > >estão na classe C. Isto não é motivo para se despreocupar, pois como já
> > >comentado o código do vírus pode ser modificado.
> > >
> > >Se o worm encontrar um servidor rodando Apache, tentará infectá-lo por meio
> > >do bug "chunked encoding". Nestes servidores, mesmo que o sistema não seja
> > >FreeBSD, as tentativas de ataque ficarão registradas e poderão ser
> > >detectadas pelos administradores.
> > >
> > >A backdoor instalada na máquina permite que o worm seja controlado à
> > >distância. Segundo a Symantec, o Scalper tem a capacidade de enviar spam a
> > >todos os endereços de e-mail encontrados no servidor infectado; executar
> > >muitas requisições de acesso à porta 80 (padrão para Web sites), o que
> > >degrada a performance dos servidores; e permitir o acesso não-autorizado à
> > >máquina, com a conseqüente execução de programas arbitrários.
> > >
> > >De acordo com a F-Secure, os programas executados a partir da backdoor
> > >possuem os mesmos privilégios que os executados por um usuário do servidor.
> > >É possível ainda transformar a máquina infectada num "zumbi", e usá-la para
> > >lançar ataques de negação de serviço a outros servidores.
> > >
> > >O worm não modifica as configurações do sistema e pode ser detectado na
> > >lista de processos como ".a". Para removê-lo manualmente, deve-se apagar o
> > >arquivo "/tmp/.a" e "matar" o processo associado ao vírus utilizando-se o
> > >comando "killall -9 .a".
> > >
> > >Várias empresas antivírus já possuem vacinas contra o Scalper, que é
> > >considerado de baixo a médio risco, por enquanto. No entanto, o programador
> > >Domas Mituzas, da empresa lituana Microlink Systems - a primeira pessoa a
> > >detectar, na sexta-feira, a atividade do vírus - acredita que a praga
> > >esteja
> > >se espalhando. "O worm que nos atingiu veio de um servidor da Polônia e os
> > >comentários estavam em italiano, portanto ele pode vir de qualquer parte do
> > >mundo", comentou em uma entrevista à CNet.
> > >
> > >Pela experiência já adquirida com dois outros worms que infectaram centenas
> > >de milhares de servidores - o Code Red e o Nimda - o melhor é se prevenir o
> > >quanto antes. Para isto, basta fazer a atualização do Apache no endereço
> > >http://www.apache.org/dist/httpd/. A atualização impede que o servidor seja
> > >contaminado, mas não impede que sofra ataques de negação de serviço vindo
> > >de
> > >outras máquinas infectadas.
> > >
> > >_______________________________________________
> > >SECURITY-L mailing list
> > >http://obelix.unicamp.br/mailman/listinfo/security-l
> > >
> > >
> > >______________________________________________
> > >http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > >
> > >
> > >
> >
> >
> >
>
>

______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr



Mais detalhes sobre a lista de discussão freebsd