[FUGSPBR] Re: [freebsd] Re: [FUGSPBR] Vírus Scalper ataca servidores Apache

Nelson Murilo nelson em pangeia.com.br
Ter Jul 2 20:04:06 BRT 2002 

On Mon, Jul 01, 2002 at 06:16:03PM -0300, Patrick Tracanelli wrote:
> - Esse vírus é meio ridículo não é não?

Algum nao e'?

> Então, pra forçar ainda mais a barra, e se a gente, depois disso ai desse um
> 
>  chflags schg /tmp/.a
>  chflags schg /tmp/.uaa
> 
> E ai? Nem os irresponsaveis que por ventura - duvido que tenha alguem - 
> rodem o apache como root vao conseguir instalar o virus certo? Pelo que 
> me consta, esse virus não tem a capacidade de alterar modos ou alterar 
> security flags do sistema ;-)

Tem alguns problemas, rotinas que removem ou refazem o /tmp a cada reboot, 
entre outras.

Tambem nao e' escalavel, outros worms (e nao virus) podem 
surgir, usar outros diretorios e nomes diferentes, inclusive 
randomicos. 
A solucao obvia de atualizar o apache nao parece ser problema,
mesmo com modulos exoticos e vhosts, os que acompanhei tem
tem funcionado tranquilo tem mais de uma semana, inclusive os que rodavam 
1.3.x e passaram pro 2.0.x.

A prevencao de futuros problemas desse tipo parece ser rodar (tambem) o
apache em modo restrito (man jail). 

./nelson -murilo
http://www.segurancanacional.com.br

 
> Alguma vítima brasileira se dispõe a fazer o teste antes de atualizar 
> seu apache? ;-)
> 
>  Paz Profunda,
> Patrick Tracanelli
> 
> -- 
> +-----------------------------------------------+---------+
> | Patrick Leandro Tracanelli do Carmo           | (   )   |
> | Parallel Processing & BSD Unix enthusiastic   | (O_O)   |
> | FreeBSD 5.0-CURRENT i386 SMP #21              | \`-'/  w|
> | Faculdade de Tecnologia Taquaritinga / Unesp  | (   )__||
> |===============================================| /m`m\   |
> | eksffa em bsd.com.br, eksffa em fatectq.com.br      | FreeBSD |
> +-----------------------------------------------+---------+
> Long live Hanin Elias, Kim Deal!!! ;-)
> ~
> ~
> 
> Max wrote:
> >http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1025537768,61159,/
> >
> >Vírus Scalper ataca servidores Apache
> >1/7/2002 - 12:36 Giordani Rodrigues
> >
> >Foi criado o primeiro vírus capaz de infectar servidores Apache 
> >vulneráveis.
> >Batizado de FreeBSD.Scalper.Worm, Elf_Scalper.A, ou simplesmente Scalper,
> >além de outros nomes, o worm se aproveita do bug chamado "chunked 
> >encoding",
> >recentemente descoberto no Apache.
> >
> >O bug atinge uma funcionalidade do servidor responsável pela codificação de
> >blocos de dados ("chunked encoding"), permitindo a execução de códigos
> >arbitrários ou ataques de negação de serviço na máquina afetada.
> >
> >Aproveitando-se dessa brecha, o Scalper (que significa "aquele que executa
> >um escalpo", tortura que foi comum entre os índios Apache) é capaz de
> >instalar um arquivo que dá acesso não-autorizado ao servidor, enviar spam,
> >rastrear outras máquinas vulneráveis, sobrecarregar e degradar a 
> >performance
> >da máquina atingida.
> >
> >O Scalper foi projetado para se disseminar em servidores Apache rodando em
> >sistema operacional FreeBSD, mas os especialistas avisam que o worm pode 
> >ser
> >adaptado para funcionar em outros sistemas. A Symantec, por exemplo, 
> >informa
> >que já identificou duas variantes do vírus. Após ganhar acesso ao servidor,
> >o Scalper cria o arquivo temporário "/tmp/.uua", que é o próprio vírus
> >codificado em UUEncode (formato universal para transferência de arquivos
> >entre várias plataformas, como Unix, Windows e Macintosh). Em seguida, o
> >arquivo é decodificado como "/tmp/.a" e executado. O arquivo ".uaa" é então
> >deletado.
> >
> >Neste ponto, o worm instala uma backdoor (programa espião) na porta 2001 e
> >passa a rastrear outros servidores vulneráveis em redes de Classe A, 
> >segundo
> >a F-Secure. Os IPs das redes de Classe A vão de 1.x.x.x a 126.x.x.x; os de
> >Classe B, de 128.x.x.x a 191.x.x.x; e os de classe C, de 192.x.x.x a
> >223.x.x.x. Normalmente, os IPs brasileiros começam com 200 e, portanto,
> >estão na classe C. Isto não é motivo para se despreocupar, pois como já
> >comentado o código do vírus pode ser modificado.
> >
> >Se o worm encontrar um servidor rodando Apache, tentará infectá-lo por meio
> >do bug "chunked encoding". Nestes servidores, mesmo que o sistema não seja
> >FreeBSD, as tentativas de ataque ficarão registradas e poderão ser
> >detectadas pelos administradores.
> >
> >A backdoor instalada na máquina permite que o worm seja controlado à
> >distância. Segundo a Symantec, o Scalper tem a capacidade de enviar spam a
> >todos os endereços de e-mail encontrados no servidor infectado; executar
> >muitas requisições de acesso à porta 80 (padrão para Web sites), o que
> >degrada a performance dos servidores; e permitir o acesso não-autorizado à
> >máquina, com a conseqüente execução de programas arbitrários.
> >
> >De acordo com a F-Secure, os programas executados a partir da backdoor
> >possuem os mesmos privilégios que os executados por um usuário do servidor.
> >É possível ainda transformar a máquina infectada num "zumbi", e usá-la para
> >lançar ataques de negação de serviço a outros servidores.
> >
> >O worm não modifica as configurações do sistema e pode ser detectado na
> >lista de processos como ".a". Para removê-lo manualmente, deve-se apagar o
> >arquivo "/tmp/.a" e "matar" o processo associado ao vírus utilizando-se o
> >comando "killall -9 .a".
> >
> >Várias empresas antivírus já possuem vacinas contra o Scalper, que é
> >considerado de baixo a médio risco, por enquanto. No entanto, o programador
> >Domas Mituzas, da empresa lituana Microlink Systems - a primeira pessoa a
> >detectar, na sexta-feira, a atividade do vírus - acredita que a praga 
> >esteja
> >se espalhando. "O worm que nos atingiu veio de um servidor da Polônia e os
> >comentários estavam em italiano, portanto ele pode vir de qualquer parte do
> >mundo", comentou em uma entrevista à CNet.
> >
> >Pela experiência já adquirida com dois outros worms que infectaram centenas
> >de milhares de servidores - o Code Red e o Nimda - o melhor é se prevenir o
> >quanto antes. Para isto, basta fazer a atualização do Apache no endereço
> >http://www.apache.org/dist/httpd/. A atualização impede que o servidor seja
> >contaminado, mas não impede que sofra ataques de negação de serviço vindo 
> >de
> >outras máquinas infectadas.
> >
> >_______________________________________________
> >SECURITY-L mailing list
> >http://obelix.unicamp.br/mailman/listinfo/security-l
> >
> >
> >______________________________________________
> >http://www2.fugspbr.org/mailman/listinfo/fugspbr
> >
> >
> >
> 
> 
> 
______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd