作者 主題: 中標 '-' [Slapper Worm]  (閱讀 6295 次)

0 會員 與 1 訪客 正在閱讀本文。

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
中標 '-' [Slapper Worm]
« 於: 2002-09-23 15:08 »
過完中秋節,回到公司一看
ㄟ ~~流量給他很大
好像不太對
查了一下,中了 Slapper Worm  
可是這是專門攻擊MODSSL的,我沒開勒
為何會中了
趕緊上新的apache 及 modssl
附上在網路上看到的資料,供大家參考
請參考:
http://www.f-secure.com/v-descs/scalper.shtml
行為是:
1.scan整個網段,找出提供port80的FreeBSD+apache web server
2.利用apache的漏洞,入侵該apache MODSSL主機
3.開啟UDP port 2001後門 ,接著可以上傳、執行任意程式碼,或是發動DoS攻擊。
 上帝的歸上帝,凱薩的歸凱薩 ]

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
Re: 中標 '-' [Slapper Worm]
« 回覆 #1 於: 2002-09-23 15:49 »
引述: "istme"
過完中秋節,回到公司一看
附上在網路上看到的資料,供大家參考
請參考:
http://www.f-secure.com/v-descs/scalper.shtml
行為是:
1.scan整個網段,找出提供port80的FreeBSD+apache web server
2.利用apache的漏洞,入侵該apache MODSSL主機
3.開啟UDP port 2001後門 ,接著可以上傳、執行任意程式碼,或是發動DoS攻擊。


請檢查以下檔案是否出現在目錄中
/tmp下的
.uubugtraq
.bugtraq.c
.bugtraq

/tmp/.a
有看到的話,感快刪掉吧,記得要停掉apache [請注意,上述檔案得owner應該都是apache]
更新modssl後在restart吧
 上帝的歸上帝,凱薩的歸凱薩 ]

gordonn

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
中標 '-' [Slapper Worm]
« 回覆 #2 於: 2002-09-23 17:46 »
是 2002 的 port ..

不要擋錯了..

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
中標 '-' [Slapper Worm]
« 回覆 #3 於: 2002-09-24 20:37 »
引述: "gordonn"
是 2002 的 port ..

不要擋錯了..

謝謝指導
各位趕快看看自己的server吧,我自己的也中了
ㄟ~~ 特性是網路頻寬被佔住
且/tmp下有上述的幾個檔案
除update apache modssl外
還有其他方式嗎
因為我update後,發現還是有很多的不明的封包
現在在研究NETMAN大大的nat,看看是否可以直接DROP掉這些封包
 上帝的歸上帝,凱薩的歸凱薩 ]

istme

  • 憂鬱的高中生
  • ***
  • 文章數: 130
    • 檢視個人資料
    • http://www.wretch.cc/blog/istme/
中標 '-' [Slapper Worm]
« 回覆 #4 於: 2002-09-24 21:29 »
http://rhn.redhat.com/errata/RHSA-2002-155.html
上面有該修正的部分
os為 rh7.3 版 且未更新APACHE 及MODSSL 的朋友
趕快更新一下吧
或是到
ftp://linux.sinica.edu.tw/redhat/updates/7.3/en/os/i386/
也可以找到
 上帝的歸上帝,凱薩的歸凱薩 ]