[FUGSPBR] Vírus Scalper ataca servidores Apache

Patrick Tracanelli eksffa em bsd.com.br
Seg Jul 1 18:16:03 BRT 2002 

Olá :-)

Faz tempo que eu não mando msg na lista - só leio - mas me corrijam se 
eu estiver errado:

- Esse vírus é meio ridículo não é não?

Quero dizer, não tive a "sorte" de ser infectado em nenhum dos vários 
servidores apache que eu tenho espalhado por aí, e como eles já estão 
devidamente 1.3.26_3 acho que não vou conseguir fazer o teste, mas vou 
pedir pro pessoal que por ventura for vítima, fazer ;-)

Creio que ele deve gravar o /tmp/.uaa como o user dono do processo 
apache, certo? A mesma coisa pra executar o /tmp/.a certo?

Então, e se a gente fizer assim:

touch /tmp/.uaa
touch /tmp/.a

chown root:wheel /tmp/.uaa /tmp/.a

ou chown toor:wheel - pra aqueles que mantem o toor no sistema

chmod 000 /tmp/.uaa
chmod 000 /tmp/.a

???

Nenhum processo que esteja rodando o apache - normalmente processos sem 
maiores 'poderes' no sistema - vão conseguir sobrescrever ou alterar um 
arquivo do root no sistema, certo?

Então, pra forçar ainda mais a barra, e se a gente, depois disso ai desse um

  chflags schg /tmp/.a
  chflags schg /tmp/.uaa

E ai? Nem os irresponsaveis que por ventura - duvido que tenha alguem - 
rodem o apache como root vao conseguir instalar o virus certo? Pelo que 
me consta, esse virus não tem a capacidade de alterar modos ou alterar 
security flags do sistema ;-)

Qualquer variação de modos, flags, permissões ou kernel.securelevel ta 
fora de questão - por enquanto.

Será que num ambiente assim um apache vulnerável conseguiria instalar o 
vírus?

Alguma vítima brasileira se dispõe a fazer o teste antes de atualizar 
seu apache? ;-)

  Paz Profunda,
Patrick Tracanelli

-- 
+-----------------------------------------------+---------+
| Patrick Leandro Tracanelli do Carmo           | (   )   |
| Parallel Processing & BSD Unix enthusiastic   | (O_O)   |
| FreeBSD 5.0-CURRENT i386 SMP #21              | \`-'/  w|
| Faculdade de Tecnologia Taquaritinga / Unesp  | (   )__||
|===============================================| /m`m\   |
| eksffa em bsd.com.br, eksffa em fatectq.com.br      | FreeBSD |
+-----------------------------------------------+---------+
Long live Hanin Elias, Kim Deal!!! ;-)
~
~

Max wrote:
> http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1025537768,61159,/
> 
> Vírus Scalper ataca servidores Apache
> 1/7/2002 - 12:36 Giordani Rodrigues
> 
> Foi criado o primeiro vírus capaz de infectar servidores Apache vulneráveis.
> Batizado de FreeBSD.Scalper.Worm, Elf_Scalper.A, ou simplesmente Scalper,
> além de outros nomes, o worm se aproveita do bug chamado "chunked encoding",
> recentemente descoberto no Apache.
> 
> O bug atinge uma funcionalidade do servidor responsável pela codificação de
> blocos de dados ("chunked encoding"), permitindo a execução de códigos
> arbitrários ou ataques de negação de serviço na máquina afetada.
> 
> Aproveitando-se dessa brecha, o Scalper (que significa "aquele que executa
> um escalpo", tortura que foi comum entre os índios Apache) é capaz de
> instalar um arquivo que dá acesso não-autorizado ao servidor, enviar spam,
> rastrear outras máquinas vulneráveis, sobrecarregar e degradar a performance
> da máquina atingida.
> 
> O Scalper foi projetado para se disseminar em servidores Apache rodando em
> sistema operacional FreeBSD, mas os especialistas avisam que o worm pode ser
> adaptado para funcionar em outros sistemas. A Symantec, por exemplo, informa
> que já identificou duas variantes do vírus. Após ganhar acesso ao servidor,
> o Scalper cria o arquivo temporário "/tmp/.uua", que é o próprio vírus
> codificado em UUEncode (formato universal para transferência de arquivos
> entre várias plataformas, como Unix, Windows e Macintosh). Em seguida, o
> arquivo é decodificado como "/tmp/.a" e executado. O arquivo ".uaa" é então
> deletado.
> 
> Neste ponto, o worm instala uma backdoor (programa espião) na porta 2001 e
> passa a rastrear outros servidores vulneráveis em redes de Classe A, segundo
> a F-Secure. Os IPs das redes de Classe A vão de 1.x.x.x a 126.x.x.x; os de
> Classe B, de 128.x.x.x a 191.x.x.x; e os de classe C, de 192.x.x.x a
> 223.x.x.x. Normalmente, os IPs brasileiros começam com 200 e, portanto,
> estão na classe C. Isto não é motivo para se despreocupar, pois como já
> comentado o código do vírus pode ser modificado.
> 
> Se o worm encontrar um servidor rodando Apache, tentará infectá-lo por meio
> do bug "chunked encoding". Nestes servidores, mesmo que o sistema não seja
> FreeBSD, as tentativas de ataque ficarão registradas e poderão ser
> detectadas pelos administradores.
> 
> A backdoor instalada na máquina permite que o worm seja controlado à
> distância. Segundo a Symantec, o Scalper tem a capacidade de enviar spam a
> todos os endereços de e-mail encontrados no servidor infectado; executar
> muitas requisições de acesso à porta 80 (padrão para Web sites), o que
> degrada a performance dos servidores; e permitir o acesso não-autorizado à
> máquina, com a conseqüente execução de programas arbitrários.
> 
> De acordo com a F-Secure, os programas executados a partir da backdoor
> possuem os mesmos privilégios que os executados por um usuário do servidor.
> É possível ainda transformar a máquina infectada num "zumbi", e usá-la para
> lançar ataques de negação de serviço a outros servidores.
> 
> O worm não modifica as configurações do sistema e pode ser detectado na
> lista de processos como ".a". Para removê-lo manualmente, deve-se apagar o
> arquivo "/tmp/.a" e "matar" o processo associado ao vírus utilizando-se o
> comando "killall -9 .a".
> 
> Várias empresas antivírus já possuem vacinas contra o Scalper, que é
> considerado de baixo a médio risco, por enquanto. No entanto, o programador
> Domas Mituzas, da empresa lituana Microlink Systems - a primeira pessoa a
> detectar, na sexta-feira, a atividade do vírus - acredita que a praga esteja
> se espalhando. "O worm que nos atingiu veio de um servidor da Polônia e os
> comentários estavam em italiano, portanto ele pode vir de qualquer parte do
> mundo", comentou em uma entrevista à CNet.
> 
> Pela experiência já adquirida com dois outros worms que infectaram centenas
> de milhares de servidores - o Code Red e o Nimda - o melhor é se prevenir o
> quanto antes. Para isto, basta fazer a atualização do Apache no endereço
> http://www.apache.org/dist/httpd/. A atualização impede que o servidor seja
> contaminado, mas não impede que sofra ataques de negação de serviço vindo de
> outras máquinas infectadas.
> 
> _______________________________________________
> SECURITY-L mailing list
> http://obelix.unicamp.br/mailman/listinfo/security-l
> 
> 
> ______________________________________________
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
> 
> 
> 


______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd