Nuevo gusano ataca servidores Linux
Fuente: http://www.kriptopolis.org/node/1355
Están apareciendo informes de un nuevo gusano para servidores Linux que explota la reciente vulnerabilidad de XML-RPC descubierta en muchos sistemas de gestión de contenidos (Drupal, Wordpress y PostNuke, entre otros), así como un par de vulnerabilidades existentes en AWStats Rawlog Plugin y Webhints.
Denominado Linux/Lupper, este gusano busca sistemas que no hayan parcheado las vulnerabilidades mencionadas y dispongan de los scripts PHP/CGI vulnerables. Para ello escanea indiscriminadamente servidores web enviando peticiones maliciosas al puerto 80. Si encuentra un servidor víctima, y éste además le proporciona facilidades para instalarse, descarga e instala una copia y desde ahí comienza la búsqueda de nuevos servidores susceptibles. Todo ello se dirige a la creación de una red de máquinas zombis, capaces de obedecer comandos remotos.
La mejor forma de comprobar si se está infectado es observar la existencia del fichero /tmp/lupii, así como de un puerto UDP 7222 a la escucha, donde el gusano abre una puerta trasera.
Están apareciendo informes de un nuevo gusano para servidores Linux que explota la reciente vulnerabilidad de XML-RPC descubierta en muchos sistemas de gestión de contenidos (Drupal, Wordpress y PostNuke, entre otros), así como un par de vulnerabilidades existentes en AWStats Rawlog Plugin y Webhints.
Denominado Linux/Lupper, este gusano busca sistemas que no hayan parcheado las vulnerabilidades mencionadas y dispongan de los scripts PHP/CGI vulnerables. Para ello escanea indiscriminadamente servidores web enviando peticiones maliciosas al puerto 80. Si encuentra un servidor víctima, y éste además le proporciona facilidades para instalarse, descarga e instala una copia y desde ahí comienza la búsqueda de nuevos servidores susceptibles. Todo ello se dirige a la creación de una red de máquinas zombis, capaces de obedecer comandos remotos.
La mejor forma de comprobar si se está infectado es observar la existencia del fichero /tmp/lupii, así como de un puerto UDP 7222 a la escucha, donde el gusano abre una puerta trasera.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!