作者 主題: Linux Worm : Slapper  (閱讀 36353 次)

0 會員 與 1 訪客 正在閱讀本文。

yousee

  • 訪客
Linux Worm : Slapper
« 於: 2002-09-16 18:13 »
參考
http://news.com.com/2100-1001-957987.html?tag=fd_top
http://www.trend.com.tw/vinfo/virusencyclo/default5.asp?VName=ELF_SLAPPER.A&VSect=T
http://securityresponse.symantec.com/avcenter/security/Content/2002.09.13.html

Affected Components:
Red-Hat: Apache 1.3.6, 1 3 9, 1.3.12, 1.3.19, 1.3 20, 1.3 22, 1.3 23, 1.3.26 .
SuSe: Apache 1.3.12, 1.3 17, 1.3 19, 1.3.20, 1.3 23 .
Mandrake: Apache 1.3 14, 1.3.19, 1.3.20, 1.3 23 .
Slackware: Apache 1.3 26 .
Debian: Apache 1.3.26

montana

  • 憂鬱的高中生
  • ***
  • 文章數: 100
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #1 於: 2002-09-17 11:44 »
唉..9月13日才發現的東東..剛檢查主機..已有三部被攻陷了..:(
其他的..不知何時會淪陷..:p
看解決方式中......

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #2 於: 2002-09-17 12:32 »
請..請... 請....問請是linux的病毒嗎??

yousee

  • 訪客

yousee

  • 訪客
Linux Worm : Slapper
« 回覆 #4 於: 2002-09-17 13:57 »
引述: "montana"
唉..9月13日才發現的東東..剛檢查主機..已有三部被攻陷了..:(
其他的..不知何時會淪陷..:p
看解決方式中......

請問被淪陷的慘況是如何?

montana

  • 憂鬱的高中生
  • ***
  • 文章數: 100
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #5 於: 2002-09-17 17:08 »
第四部產生了..實在是......:p
先前三部..有一部是執行檔當未make出來..但log中查無相關記錄..
另二部無明顯狀況..查ps..亦看不到有什麼東東在跑..
今天下午的第四部..早上仍未被種..還沒更換openssl前..就被做掉了..:p
查ps..剛好看到一拖拉庫的bug東東在跑..二話不說..先把httpd關了..
且在http的error log中..看到了如下記錄多條..和tmp中被種的檔同一時間..
[Tue Sep 17 13:33:55 2002] [error] mod_ssl: SSL handshake timed out (client 195.52.219.18, server www.xxxxxxx.com:443)
[Tue Sep 17 13:33:58 2002] [error] mod_ssl: SSL handshake timed out (client 195.52.219.18, server www.xxxxxxx.com:443)
....
這個IP..我想也只是受害者..也沒什麼好追查的..
大概就這樣子了..報告完畢..
只剩公司的主機還沒事..


ps.
os為linux redhat 7.1/7.3
openssl為0.9.6b的版本..現已都改為0.9.6g了..

yousee

  • 訪客
Linux Worm : Slapper
« 回覆 #6 於: 2002-09-17 18:05 »
我error_log零星1~2個紀錄
/tmp 裡沒有中毒的檔
/tmp/.uubugtraq
/tmp/.bugtraq.c
/tmp/.bugtraq
會不會是沒開 2002 port
所以不會被侵入?
只有被嘗試?

REDHAT 還沒有更新的RPM 出現
最新的 openssl 更新是
http://rhn.redhat.com/errata/RHSA-2002-155.html
2002-07-29
而 OPENSSL 0.9.6g
http://www.openssl.org/source/openssl-engine-0.9.6g.tar.gz
http://www.openssl.org/source/openssl-0.9.6g.tar.gz
是 Aug  9 可以用嗎?

可以不管 REDHAT 就直接更新 OPENSSL 可以嗎?
上次不管 REDHAT 就直接更新 APACHE
發現很多相依的檔有問題
發我很多時間去找相依檔
最後還是等REDHAT的更新發表後才正常更新!
慘痛的經驗, 所以不敢直接更新 OPENSSL!

上述 REDHAT 2002-07-29 我已更新過了!
會因為這樣, 所以我不會中毒?

病毒會在漏洞已有補救方式後 1個月再出現嗎?
如是這樣那這隻病毒出來幹麼?

呵!
問了一堆
總歸兩個問題:
1. 更新了 REDHAT 2002-07-29 的OPENSSL 模組, 就不會中這隻毒嗎?
2. 上訴問題成立的話, 那這隻病毒出來幹麼?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17393
    • 檢視個人資料
    • http://www.study-area.org
Linux Worm : Slapper
« 回覆 #7 於: 2002-09-17 18:07 »
我目前也是將 SSL 停用,等 redhat 的 patch 出來再說。

按 securityfocus 說法,OPENSSL 0.9.6g 已經修補好了。

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7311
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #8 於: 2002-09-17 22:12 »
linuxfab上有說到了,
不知道用firewall把port關了,
這樣有沒有效?!

montana

  • 憂鬱的高中生
  • ***
  • 文章數: 100
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #9 於: 2002-09-18 11:55 »
公司的主機..手上的最後一部..也在昨夜..被作掉了.......
在昨天下午已經把openssl更換了..結果還是一樣..
看mrtg的圖檔..只知道被作掉後..上下傳的頻寬..被狂用了數小時....
失敗..真的失敗了.....
其他的機器..還有二度中獎的..如果買樂透也可以這麼好運就好了..:p
目前..就撐著用吧..等完整的解決方式出來..再找時間安裝過了....
大家應該都比較幸運..沒人遇上..真好..:)

yousee

  • 訪客
Linux Worm : Slapper
« 回覆 #10 於: 2002-09-18 12:00 »
montana
把 port 443 & 2002 擋起來吧!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17393
    • 檢視個人資料
    • http://www.study-area.org
Linux Worm : Slapper
« 回覆 #11 於: 2002-09-18 13:15 »
(從 tw.bbs.comp.linux 新聞組抄來的,給大家參考一下)

轉貼:Re: 急問...porcess中出現/tmp/.bugtraq 129.170.20 …


"kid" 撰寫於郵件 news:42MJeU$I1Y@bbs.ee.ntu.edu.tw...
> 分享一下我的處理經驗。
>
> 1. kill -9 [BUGTRAQ-PID]
> 2. stop httpd.
> 3. copy httpd.conf for backup
> 4. upgrade apache, get from apache.org
>  如果您使用的是rpm升級,請至:
>  http://updates.redhat.com/7.2/en/os/i386/
>  升級 apache, openssl
> 5. add followed to your httpd.conf
>  RedirectMatch 400 "\\\.\."
>  (加在下邊)
> 6. check /proc/net/ip_conntrack
>  檢視目前2002/UDP的連線狀況
>  沒有啟動的話,可以利用網中人的ipt_server那一段
>
>  for file in /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_conntrack_*.o
>  do
>     module=$(basename $file)
>     modprobe ${module%.*} &>/dev/null
>  done
> 7. 拒絕2002埠的UDP
>  /sbin/iptables -I INPUT -p udp --dport 2002 -j DROP
> 8. chmod 700 /usr/bin/gcc
>
> 建議參考一下網中人 study-area 的 server/NAT 部份,拒絕非允許埠口通聯。
>
> 關於上述說明,純屬個人經驗,歡迎指教。
>

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #12 於: 2002-09-18 13:36 »
請問怎麼確定自己有沒有中獎呀~
如果/tmp下是空的,是不是就沒事了呀 :roll:

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5384
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
Linux Worm : Slapper
« 回覆 #13 於: 2002-09-18 13:39 »
大家的 firewall 設定都習慣 accept 所有的, 然後 deny 你不要的 port ?
如果是的話, 這種設定是比較不安全的, 以 firewall 來說, 應該是 deny 所有的, 只開放你有提供服務的連線才對... 常見的服務了不起也不過用十幾個 port, 這樣子被攻破的機會就少多了...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17393
    • 檢視個人資料
    • http://www.study-area.org
Linux Worm : Slapper
« 回覆 #14 於: 2002-09-18 13:42 »
看環境吧,
我習慣 allow specific then deny all (通常用在 inbound )。
若是指 outbound ,則是 deny specific then allow all 。

shian

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #15 於: 2002-09-18 14:06 »
各位弟兄,台南市網有關於Slapper Worm的一些訊息,大家可以看看

http://www.tn.edu.tw/sammy/virus/slapper.htm

希望可以趕快把這隻蟲解掉!!!!!!

yousee

  • 訪客
Linux Worm : Slapper
« 回覆 #16 於: 2002-09-18 14:14 »
to ericshei:
/tmp下是空的,是還沒中毒爾已!

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
Linux Worm : Slapper
« 回覆 #17 於: 2002-09-18 14:29 »
它是藉由軟體 bug 進來的蠕蟲,應該說,標準的防火牆設定無效。

因為 443 埠本來就是提供 SSL 通訊的埠口,除非你已經得知這消息,
不然很多網站,尤其是有做交易的,本來就會接受這通訊埠。

亂開服務被入侵,等於你在家裡亂開門,有一道沒上鎖,就被闖入了。

今天等於是家中柱子腐朽,從正門進來一位奧客,一看到朽掉的柱子
就去踹一腳,結果家垮了。

和防火牆不是很相關,火牆只是事後臨時補救措施。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5384
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
Linux Worm : Slapper
« 回覆 #18 於: 2002-09-18 14:54 »
引述: "harrier"
它是藉由軟體 bug 進來的蠕蟲,應該說,標準的防火牆設定無效。

因為 443 埠本來就是提供 SSL 通訊的埠口,除非你已經得知這消息,
不然很多網站,尤其是有做交易的,本來就會接受這通訊埠。

亂開服務被入侵,等於你在家裡亂開門,有一道沒上鎖,就被闖入了。

今天等於是家中柱子腐朽,從正門進來一位奧客,一看到朽掉的柱子
就去踹一腳,結果家垮了。

和防火牆不是很相關,火牆只是事後臨時補救措施。


不同的設定, 會有不同的損害結果.
以這個蟲來看 (取自上面的網址說明):
代碼: [選擇]

它會入侵啟動mod_ssl 的apache web server
行為是:
1.scan整個網段,找出提供port80的apache web server
2.利用openssl的漏
3.


如果你的 firewall 設定, 並不允許 udp port 2002 連線進入, 這個蟲的行為就只能到上述的第二個步驟.

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17393
    • 檢視個人資料
    • http://www.study-area.org
Linux Worm : Slapper
« 回覆 #19 於: 2002-09-18 15:00 »
引述: "harrier"
它是藉由軟體 bug 進來的蠕蟲,應該說,標準的防火牆設定無效。

因為 443 埠本來就是提供 SSL 通訊的埠口,除非你已經得知這消息,
不然很多網站,尤其是有做交易的,本來就會接受這通訊埠。

亂開服務被入侵,等於你在家裡亂開門,有一道沒上鎖,就被闖入了。

今天等於是家中柱子腐朽,從正門進來一位奧客,一看到朽掉的柱子
就去踹一腳,結果家垮了。

和防火牆不是很相關,火牆只是事後臨時補救措施。


這讓我想起斌斌小站所看到的一篇文章:
http://home.pchome.com.tw/computer/chengbin/computer_tips/comp_outlook_express/20020528/email_hoax.htm

其中有段:

其實,這個方法最大的傷害,不是在電腦或資料本身,而是在「郵件安全觀念」上的傷害,造成錯誤的觀念,學習時的觀念錯誤,則一步錯、步步錯。

即使你用了這個方法,也不會造成任何的資料流失,但是,卻養成了錯誤的觀念,這是比資料毀損、功能不正常等等現象還要可怕的一件事情。很多聽信這個方法的人,就會以為:「我只要這麼做就沒事了」、「我只要這麼做就可以防毒」,卻輕忽真正的防毒方法。


我想,firewall 的應用,在某一程度上也起到了麻痹作用:以為"一勞永逸"了!若有這種念頭,真比不架 firewall 更糟糕!

大家想想看:
http://rhn.redhat.com/errata/RHSA-2002-155.html

事實上,RedHat 早在 2002-07-29 就公佈了 SSL 的存在漏動,並提出了修補。但請問有多少人真的做了?每次都等到漏洞行為擴大之後才到處找解藥。這要怪誰?

大家是否有發現小弟在技術討論的一些轉變:
* 之前,很鼓勵別人先把 server 架起來再說,而比較偏 steps 教學。
* 現在,先潑冷水﹔若對方有足夠認知後,再講原理﹔若原理懂了,最後也不講 steps ,而是用提示方式請對方自我解決。

why?

因為我發現之前的方法,會 "害死" 不少人:架起來容易,但卻沒有維護能力。就好像只教開車而不教交通規則一樣。難道結果還會難料嗎:
* 越是鼓勵這樣的司機上路,死得越慘,交通越混亂。
因此,對那些沒耐心聽交通規則的司機,我也沒耐心教﹔但,真肯聽教的,我很樂意、且盡力傳授自己所知的(雖然不一定正確)。

從當前事件得到的一些想法,大家聽聽吧。

yousee

  • 訪客
Linux Worm : Slapper
« 回覆 #20 於: 2002-09-18 15:36 »
這樣看來
此病毒是來考驗管理者的用心
如果您有注意REDHAT 7月底的更新
及常常更新
那您現在就會像我一樣不怕此毒的侵入了!
不過我還是參考上述網站做了幾項防範:
0. 將 port 2002 關了
(其實我根本沒開! 我只開需要的幾個PORT)
1. 修改 httpd.conf 加入
RedirectMatch 400 "\\\.\."  (加在下邊)
2. /tmp 下先編輯 .uua 與 .a 兩個空檔案
chown root .uua
chown root .a
chmod 100 .uua
chmod 100 .a
(讓病毒無法將病毒擋中進來)

這件事情給我的感覺是
"要常常更新"
不管您是用windows 還是 LINUX

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7311
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #21 於: 2002-09-18 17:45 »
引述: "netman"
看環境吧,
我習慣 allow specific then deny all (通常用在 inbound )。
若是指 outbound ,則是 deny specific then allow all 。


我都有架防火牆,
小弟的設定規則也是如上,
目前是沒有災情,
雖然比較麻煩,
老早我就不用標準的443當ssl的port,
有架服務主機的人,
應該是要考慮弄個Firewall,
最少還可以在第一線先擋住,
我目前想在Firewall上弄R-Proxy,
先在Web之前先濾掉一些東東...

Ken

  • 鑽研的研究生
  • *****
  • 文章數: 524
    • 檢視個人資料
    • http://square.2y.net
Linux Worm : Slapper
« 回覆 #22 於: 2002-09-19 13:11 »
雖然能力不濟,幸好還算是個盡責的人,上兩次的code red,nimda IIS也沒受害.這次也沒甚麼事,apache由開始也沒載入ssl,443當然也沒開,firewall上也只allow了幾個常用的port.
在打算在每部linux主機上再設多個firewall,免得上層死了也還有下層

cisco3662

  • 鑽研的研究生
  • *****
  • 文章數: 739
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #23 於: 2002-09-23 15:34 »
引述: "netman"
我目前也是將 SSL 停用,等 redhat 的 patch 出來再說。

按 securityfocus 說法,OPENSSL 0.9.6g 已經修補好了。


對了........SSL要如何停用呢??
我這邊是1.3.23

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17393
    • 檢視個人資料
    • http://www.study-area.org
Linux Worm : Slapper
« 回覆 #24 於: 2002-09-23 15:45 »
引述: "cisco3662"
對了........SSL要如何停用呢??
我這邊是1.3.23


按 redhat 網站的說明,7 月底、8 月初的那個 patch 已經是安全的。
因為我目前還沒用到 ssl ,因此就不打開了(雖然那時我就 patch 過了)。

至於關閉動作如下:

(在 redhat 7.2 上)
代碼: [選擇]
5029  vi httpd.conf
    remarked following lines:
        #LoadModule ssl_module         modules/libssl.so
        #AddModule mod_ssl.c
        #Listen 443
        #SSLEngine on
        #SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
        #SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key
        #<Files ~ "\.(cgi|shtml|phtml|php3?)$">
        #    SSLOptions +StdEnvVars
        #</Files>
        #<Directory "/var/www/cgi-bin">
        #    SSLOptions +StdEnvVars
        #</Directory>
        #CustomLog logs/ssl_request_log \
        #          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

 5030  service httpd restart



(在 redhat 7.1 上)
代碼: [選擇]
 620  vi /etc/httpd/conf/httpd.conf
     remarked following lines:
        #LoadModule ssl_module         modules/libssl.so
        #AddModule mod_ssl.c
        #Listen 443
  621  service httpd restart

cisco3662

  • 鑽研的研究生
  • *****
  • 文章數: 739
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #25 於: 2002-09-23 15:50 »
引述: "netman"
引述: "cisco3662"
對了........SSL要如何停用呢??
我這邊是1.3.23


按 redhat 網站的說明,7 月底、8 月初的那個 patch 已經是安全的。
因為我目前還沒用到 ssl ,因此就不打開了(雖然那時我就 patch 過了)。

至於關閉動作如下:

(在 redhat 7.2 上)
代碼: [選擇]
5029  vi httpd.conf
    remarked following lines:
        #LoadModule ssl_module         modules/libssl.so
        #AddModule mod_ssl.c
        #Listen 443
        #SSLEngine on
        #SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
        #SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key
        #<Files ~ "\.(cgi|shtml|phtml|php3?)$">
        #    SSLOptions +StdEnvVars
        #</Files>
        #<Directory "/var/www/cgi-bin">
        #    SSLOptions +StdEnvVars
        #</Directory>
        #CustomLog logs/ssl_request_log \
        #          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

 5030  service httpd restart



(在 redhat 7.1 上)
代碼: [選擇]
 620  vi /etc/httpd/conf/httpd.conf
     remarked following lines:
        #LoadModule ssl_module         modules/libssl.so
        #AddModule mod_ssl.c
        #Listen 443
  621  service httpd restart



rh6.2 apache 1.3.12版的好像沒有ssl的選項........
是那時候還沒support ssl嗎??

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17393
    • 檢視個人資料
    • http://www.study-area.org
Linux Worm : Slapper
« 回覆 #26 於: 2002-09-23 16:04 »
我現在手上已沒這麼舊的版本了...

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
Linux Worm : Slapper
« 回覆 #27 於: 2002-09-23 19:36 »
引述: "cisco3662"
rh6.2 apache 1.3.12版的好像沒有ssl的選項........
是那時候還沒support ssl嗎??
沒錯! Red Hat 6.x 的版本確實沒有這個咚咚!

cisco3662

  • 鑽研的研究生
  • *****
  • 文章數: 739
    • 檢視個人資料
Linux Worm : Slapper
« 回覆 #28 於: 2002-09-23 23:30 »
引述: "VBird"
引述: "cisco3662"
rh6.2 apache 1.3.12版的好像沒有ssl的選項........
是那時候還沒support ssl嗎??
沒錯! Red Hat 6.x 的版本確實沒有這個咚咚!


哈.......那6.X就不怕這隻賤賤的病毒囉.....^^

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 922
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
Linux Worm : Slapper
« 回覆 #29 於: 2002-09-24 15:42 »
真丟臉... :oops:

今天我公司也淪陷了...

頻寬完全被吃掉....

使用 nmap localhost 或是 netstat -nltp 也看不到任何 Port
被開

後來請 TTN 的客服把監控資料fax給我, 才看知到哪一台Server
被攻陷以及使用的 Port Number

它所使用的 Port 是 4156...
不過CERT有提到三種變種, 其中B型會開 1052 Port 當後門
三種所留下的檔案都不一樣
Variant "A"
/tmp/.uubugtraq
/tmp/.bugtraq.c
/tmp/.bugtraq
Variant "B"
/tmp/.unlock.c
/tmp/.update.c
Variant "C"
/tmp/.cinik
/tmp/.cinik.c
/tmp/.cinik.go
/tmp/.cinik.goecho
/tmp/.cinik.uu

http://www.cert.org/advisories/CA-2002-27.html

Probing -- Scanning on 80/tcp
Propagation -- Connections to 443/tcp
DDoS -- Transmitting or receiving datagrams with both source and destination ports 1978/udp, 2002/udp, or 4156/udp. This traffic is used as a communications channel between infected systems to coordinate attacks on other sites.
Backdoor ("B" variant only) -- Listening on 1052/tcp
人必先置於死地而後生
科技來自人性
想像是科技之母