apachemodssl蠕虫警告

王朝system·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

十一长假归来,发现自己负责的一台linux机器负载极重,有个由web server用户执行的update占了很多资源。原来染了蠕虫病毒 :-( 名称是Linux/Slapper.worm b类和c类变种("扇linux嘴巴者"?恶毒&(

它通过openssl的缓冲区溢出漏洞工作,先对80口用一个无聊的GET扫描B类网段,发现来自apache的回应后就对443口 (https)进行缓冲区溢出攻击,并以apache的身份下载其源文件,用系统自带的gcc来编译运行并且在文件系统里到处找可写的目录去复制自己:-( 除了运行时占很多资源和给cinik_worm@yahoo.com 发系统资料,还会开udp口接收指令,对其它机器进行dos攻击什么的...

检测办法:

1. ps aux|grep update

如果有这个进程,并且是由apache的用户执行的,就是它的c类变种。

2. ls -al /tmp |grep .cinik

如果有这个文件,说明感染了b类变种。

3. 如果有.bugtraq文件,说明感染了a类变种。

另外也可以看看端口:

netstat -an

a类变种监听UDP 的 2002 口

b类变种监听UDP 的 1978 口

c类变种监听UDP 的 4156 口

所幸,下载病毒源码的网站已经被封了。

杀毒办法:

杀掉它的所有进程;比如 killall .cinik update devnull;

删掉它的所有文件:比如 find / -name .cinik -exec rm -fr {} \;

查看crontab 任务,删掉病毒添加的内容(logrotate可能有问题);

亡羊补牢措施:限制gcc的使用权限:chmod o-x /usr/bin/gcc;

去www.openssl.org下载新的openssl并编译安装;

重新编译所有用到openssl的程序 :-(

大致如此了,如有错误清指出,欢迎高手指教。

详细信息有些遗漏,请看symantec的原版信息:http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.worm.html

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航