Articles précédents : Articles
- [6] Libre et administration
- [60] Une étude met dos-à-dos logiciels libres et propriétaires
- [20] Le 27 septembre, le projet GNU aura 19 ans
- [6] Le libre et les grands comptes
- [9] Sun apprend à partager
- [4] Tutoriels Python sur LinuxFrench
- [5] Le libre dans "20 Minutes"
- [33] La Commission Européenne vous sonde
- [24] Un trou dans la toîle
- [12] Mieux que le G8, le kernel summit
Liens connexes
- Analyse du ver (1186 hits)
- Message posté sur FreeBSD-security et Bugtraq (479 hits)
- Autre analyse (480 hits)
- Discussion sur Bugtraq (526 hits)
Dépêche modérée par
La faille a été détectée par un pot de miel (« honeypot »), sur un Apache 1.3.24, et ce qu'on en sait pour l'instant est que le code qui est propagé est un code pour FreeBSD. Par une requête HTTP qui est affichée sur le site, le ver s'installe sur le disque, et se met à écouter le port 2001 en UDP, et envoie des messages UDP vers une IP codée en dur...
Rien ne prouve pour l'instant que les autres plateformes ne sont pas vulnérable, car il peut exister plusieurs variantes de ce ver. D'après l'analyse du code qui a été récupéré sur le honeypot, il s'avère que les versions suivantes d'Apache seraient vulnérables, du moins avec FreeBSD :
- FreeBSD 4.5 x86 / Apache/1.3.22-24 (Unix)
- FreeBSD 4.5 x86 / Apache/1.3.20 (Unix)
A suivre de très près...
![[en]](../../../images/en.png)
Analyse du ver (1186 hits)-
Message posté sur FreeBSD-security et Bugtraq (479 hits)
-
Autre analyse (480 hits)
-
Discussion sur Bugtraq (526 hits)
> Lire les commentaires (11 commentaires, moyenne: 18,5).
ZDNet en parle aussi
http://zdnet.com.com/2100-1105-940601.html(...)
En résumé, ca raconte que ca marche que sur FreeBSD, que ca fait planter l'Indien sur les autres plateformes, et que ça pourrait être en fait utilisé pour des DoS.
-1 parce que je voulais être le premier à poster :-)
-
[^]Re: ZDNet en parle aussi
Posté par Sébastien Koechlin () le 29/06/2002 à 15:20. (lien). Évalué à 13.Maintenant que le code source du vers a été publié, on peut s'attendre à ce que de nouvelles variantes surgissent sur le net, avec plus de dégats et éventuellement plus de plateforme supportée...
Ceci dit, vu l'hétérogénéité du parc sur lequel tourne Apache, je pense qu'il y a peu de risque
que ça fasse comme CodeRed et Nimda qui circulent toujours.
On casse beaucoup de sucre sur le dos de m$, mais ...
... Apache n'est pas non plus exempt de bugs. Bon, il n'est pas aussi buggé que IIS, mais le plus important, c'est que la faille sera sans doute assez rapidement corrigée (du moins, je l'espère), contrairement à d'autres...
-
[^]Re: On casse beaucoup de sucre sur le dos de m$, mais ...
Posté par Euclide (page perso, ) le 29/06/2002 à 08:18. (lien). Évalué à 38.Vu ce que ca utilise (les chunks) ca doit utiliser la derniere faille en date pour apache.
Donc le patch est déjà sorti.
(c'est corrigé dans apache 1.3.26 et 2.0.39)
J'aime pas les news alarmistes
Ce ver utilise la vulnérabilité connue depuis plus d'une semaine maintenant, celle des chunks. Ce n'est donc pas une nouvelle faille de sécu sur Apache, mais la même exploitée par un ver.
A priori, il doit utiliser l'algo proposé par gobbles et doit fonctionner sur *BSD.
Si vous avez patché la semaine dernière, vous êtes tranquille...
-
[+] [^]Re: Moi non plus
Posté par Annah C. Hue (page perso, ) le 29/06/2002 à 09:26. (lien). Évalué à -15.Même si on n'est pas touché par le bug, si la propagation du ver est assez importante (ce qui m'étonnerait vu qu'il doit pas y avoir plus de 100 serveurs freebsd dans le monde), on va encore avoir des remplissages inutiles de logs, comme avec les vers pour les IIS (qui continuent encore : j'ai environ une tentative d'attaque par jour chez moi, saloperie de windows, c'est vraiment un amplificateur de bugs ce "système").
-
[^]Re: Moi non plus
-
Le code source dispo !!!
Le decouvreur du vers (Domas MItuzas) vient de recevoir le code source du ver dans son mail !!!! Il vient de poster la news sur BugTraq.
Le code du vers est dispo ici, pour analyse : http://dammit.lt/apache-worm/apache-worm.c(...)
-
[^]Re: Le code source dispo !!!
Posté par Christophe Merlet (page perso, ) le 29/06/2002 à 14:51. (lien). Évalué à 18.C'est quelle license ? GPL ? C'est pas indiqué dans le source
Je peux le modifier pour créer mon propre virus ? Je suis obligé de redistribuer mes modifications ?
([+1] parce que je le veau bien)
difficile à retrouver dans les logs
A noter que la requete envoyée par le client pour tenter de "conquérir" d'autres machines est :
write(sock,"GET / HTTP/1.1\r\n\r\n",strlen("GET / HTTP/1.1\r\n\r\n"));
Etant donné d'un qu'il s'agit d'un simple GET tout classique, il sera difficile d'évaluer la propagation du vers, à moins de se baser sur les requêtes sans UserAgent... mais c'est pas très fiable.
On peut déjà s'attendre à ce que Microsoft annonce sur MSNBC que 99.99% du trafic vers www.microsoft.com est causé par le vers, puisqu'il s'agit de requêtes GET :)
(les autres HTTP GET présents dans les sources sont utilisés par les fonctions de DDOS)
-
[^]Re: difficile à retrouver dans les logs
Posté par jimee (page perso, ) le 01/07/2002 à 09:00. (lien). Évalué à 4.Dans les logs d'apache, ca sera un peu plus visible. Si la réponse au GET contient un entête commençant par Server: Apache, la requête est immédiatement suivie par 2 tentatives de POST / HTTP/1.1 et ce, quelles que soient la version d'apache et la plateforme.
Petit détail pour les paranos du spam comme moi, parmi les divers fonctionnalités du serveur udp, en plus des DDOS, une commande permet de récupérer tous les emails stockés sur l'arborescence (en évitant /bin, /dev et /proc), ainsi qu'une autre pour envoyer un mail à toute une liste d'adresses (avec résolution des MX et tout).
Cette page a été générée par Templeet en 0.1568s (dont 0.0891 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.