[FUG-BR] Mayhem — A New Malware Targets Linux and FreeBSD Web Servers

[Patrick Tracanelli]

>> Já viram isso?
>> 
>> 
>> http://thehackernews.com/2014/07/mayhem-new-malware-targets-linux-and_24.html
>> 
>> Tá um pouco wanabe, mas o problema relata mais sobre servidores
>> desatualizados.  Interessante foi ver o nome do FreeBSD listado.
>> 
>> Eu diria que é um "efeito ubuntu" chegando nos BSDs, a kuruminização dos
>> servidores.

Eu andei acompanhando e me parece que a porta de entrada são as mais comuns, CMs (joomla, wordpress) e outros scripts php desatualizados incluindo phpmyadmin e vtiger que possa gravar e executar dados em algum diretório. O malware tenta gravar no /tmp e depois no mesmo dir do script vulnerável. Onde conseguir, se auto-executa depois, e começa a usar o sistema pra varrer outros webservers que possam também estar vulneráveis.

Ou seja apesar de reconhecer se é FreeBSD ou Linux, não tem nada de especial sobre o que ja acontece hoje em dia, a principal diferença é que os robozinhos de grupos crackers que varrem os webservers automaticamente acabam instalando rotinas feitas em perl, python, e até shell, que tem a vantagem da portabilidade. A maioria dos Linux e BSDs tem perl, python e /bin/sh (hehe) executáveis pra qualquer user (incluindo o que roda o webserver). Então não precisam testar se é FreeBSD ou Linux pra maioria das ações que seriam equivalentes, e só testam pra tentar exploitar vulns locais e tentar elevar privilégios. Tambem rodam no /tmp e ou onde conseguirem gravar.

Então a única novidade é esse ter sido classificado malware e poder tentar se instalar em outros webservers sem ter um grupo cracker interessado e agindo explicitamente pra isso. Além de ser feito em C e não em scripts portáveis.

Acho que é um malware legal pq baixa plugins e se auto-expande hehehe.

Mas o vetor de ataque tem a mesma entrada de sempre, e o mesmo hardening básico de sempre, como restrições php docroot, open basedir, safe mode, upload_tmp_dir, flag noexec no /tmp e na estrutura www (/home, /usr/local/www, /var/www, etc) ja mitigariam o worm impedindo que ele fosse executado.

Ou seja diferente do primeiro worm focado em FreeBSD da historia, o BSD.Scalper.Worm que na época explorava uma vulnerabilidade do Apache, esse não explora nenhum serviço ou nada do sistema operacional, mas sim, aparentemente apenas as aplicações vulneráveis. A diferença e precisar saber onde roda (FreeBSD ou Linux, 64bits ou 32) ja que é um binário. Se fosse em perl bastaria descobrir onde está o interpretador perl heheh.

Então pra mim é mais do mesmo. Não vejo maiores (nem menores) riscos nem maior perigo do que já existia antes. E da mesma forma só vai funcionar em servidores negligenciados hehehe, que convenhamos é a maioria.

Agora é maldade do artigo dizer que sistemas *nix não tem auto-update.

Se o cidadão por no crontab dele uma rotina de update de software instalado, portmaster, portupgrade, apt-get, dpkg, pkg, seja la o que for e atualizar de hora em hora igual tele-sena, ainda assim o worm vai proliferar ja que o wordpress, joomla, ou php myadmin colocado manualmente naquele subdiretorio perdido dentro do document root do website do cara, não será atualizado de qualquer forma…

Mesma coisa prum wordpress instalado em windows, mac, ou num android rootado que seja, nenhuma suite de autoupdate vai atualizar esses scripts em locais arbitrários.

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"