image

Linux worm misbruikt Mambo en PHP XML-RPC lek

dinsdag 21 februari 2006, 10:45 door Redactie, 14 reacties

Het Finse F-Secure waarschuwt deze ochtend voor een variant van de Linux Mare worm die op dit moment actief is. Mare.D is een netwerk worm die zich verspreidt via lekken in het Mambo content management systeem en de PHP XML-RPC library. De worm installeert verschillende backdoors op het gecompromitteerde systeem.

Het grootste gedeelte van Mare.D is geschreven in C en gecompileerd met de GNU C compiler. Mare.D bestaat uit verschillende onderdelen, geschreven in C, shell script en Perl.

De worm scant willekeurige hosts op kwetsbare Mambo installaties en PHP XML-RPC libraries. Weet de worm binnen te komen, dan wordt er een klein shell script gedownload die de rest van de backdoor onderdelen installeert.

Reacties (14)
21-02-2006, 11:18 door [Account Verwijderd]
[Verwijderd]
21-02-2006, 12:40 door Anoniem
Dit is zo triest, dit is een combinatie van spul wat al
sinds november rondzwerft op "het Internet". En alleen omdat
die idioot Gadi Evron het zo belangrijk vond om het te
posten, wordt er nu overal aandacht aan geschonken...

Kill lordnikon!
21-02-2006, 13:27 door Anoniem
@Hugo,

Er wordt gebruik gemaakt van een elf-binary, dus is het een ......?
21-02-2006, 13:36 door Anoniem
Door Hugo
Voordat alle windoos fanaten gaan lopen blaten: dit is dus
geen Linux worm, maar een Mamba/PHP worm.
Het is een worm dat Linux machines onder handen neemt. Je
kunt vertellen dat het een Mambo/PHP worm is, maar je Linux
installatie zal erdoor worden aangetast.

Anders zou je het "I love you"-virus ook geen Windows virus
kunnen noemen, maar dom klikgedrag van de gebruiker. Wat het
eigenlijk ook is overigens. Maar als je dit soort virussen
niet mee zou tellen vallen het aantal virussen die echt
lekken in het Windows OS gebruiken meevallen met heel veel
procenten.
21-02-2006, 13:37 door Anoniem
"Het grootste gedeelte van Mare.D is geschreven in C en gecompileerd
met de GNU C compiler. Mare.D bestaat uit verschillende onderdelen,
geschreven in C, shell script en Perl"

Klinkt als scriptkiddy-werk. Effe in de 'ballenbak' graaien naar leuke stukjes
code en dan in de blender en voila, malware.
Dankzij deze mixer is het dan ook moeilijk om zo even te zeggen wat het is.
Voor de een is een PHP/Mambo worm, omdat PHP/Mambo niet standaard
in 'Linux' zit, voor de andere is het juist wel een Linux worm, omdat het
Extensible & Linking Format bestanden gebruikt welke niet kunnen zorgen
voor propagatie op Windows x86 systemen.
21-02-2006, 14:01 door Anoniem
Door Hugo
Voordat alle windoos fanaten gaan lopen blaten: dit is dus
geen Linux worm, maar een Mamba/PHP worm.
en slammer was geen windows worm maar een sql server worm.....
21-02-2006, 14:16 door SirDice
Door Hugo
Voordat alle windoos fanaten gaan lopen blaten: dit is dus geen Linux worm, maar een Mamba/PHP worm.
De C code werkt alleen op Linux en niet op windows en/of *BSD....Dat maakt het een Linux/PHP/Mambo worm :P

Maar goed, de infectie-vector is voor alle systemen hetzelfde (windows, linux en *BSD), het Perl script zou mogelijkerwijs wel op *BSD systemen (incl. OSX) kunnen lopen.. Evenals het shell script.. Ik heb de code nog niet gezien dus ik kan dat niet met zekerheid zeggen.. De C code is makkelijk.. Die werkt echt alleen op Linux.. Tenzij je de source opnieuw compileert.. (Aanroepen van API's gaat bij *BSD anders dan bij Linux)
21-02-2006, 14:57 door [Account Verwijderd]
[Verwijderd]
21-02-2006, 15:11 door SirDice
Door Hugo
En SirDice, Linux is toch alleen een kernel? Hoe kan 't dan nu een Linux worm zijn als 't niet de kernel is die de fout bevat? :P
Je hebt gelijk.. Afhankelijk van de distro werkt de C code wel of niet... Maar alle Linux distro's roepen API's op een zelfde manier aan.. Anders dan op *BSD.. Zolang ik de code niet kan zien kan ik jammer genoeg niet zeggen of het alleen op een bepaalde distro werkt of op allemaal.. En om in "jullie" taal te blijven is'ie dus voor Linux..

Maar in vergelijking.. Er is eigenlijk geen enkele reden waarom netsky niet op Linux/*BSD zou kunnen werken... Infectie-vector is de gebruiker (Netsky misbruikt geen bugs).. Is het dan een gebruikers of een windows virus??
Waarom zou dat dan wel een windows virus zijn en dit geen Linux virus? Ongeacht de infectie-vector propageert Netsky alleen op Windows en Mare/Lupii op Linux.. Dat maakt Mare/Lupii dus een Linux virus (worm eigenlijk)..
21-02-2006, 17:28 door bustersnyvel
Door SirDice
De C code is makkelijk.. Die werkt echt alleen op Linux..
Tenzij je de source opnieuw compileert.. (Aanroepen van
API's gaat bij *BSD anders dan bij Linux)

Tenzij op die BSD de Linux compatability extension aan is
gezet, dan kan het weer prima draaien...
21-02-2006, 19:24 door Dalby
enige mogelijkheid om dit na te kijken? ik zie zie hopen
logs op mn website
22-02-2006, 01:49 door Anoniem
Paar maanden geleden was dit hot. Zag je zomaar je logs
vullen met allemaal crap en dan heb ik maar een heel simpel
siteje waar maar 10 mensen komen en niet te vinden is in de
zoekmachines (volgens mij).
22-02-2006, 09:03 door SirDice
Door Dalby
enige mogelijkheid om dit na te kijken? ik zie zie hopen logs op mn website
Ik zie ook een hoop logs.. Maar dat is normaal aangezien m'n webserver alles logt... Wat zie je precies? (stukje plakken, IP adressen ff vervangen voor x.x.x.x en y.y.y.y)..

NB Zolang je geen Mambo of XML-RPC draait hoef je je geen zorgen te maken om deze worm..
22-02-2006, 10:47 door SirDice
Door Anoniem
Paar maanden geleden was dit hot. Zag je zomaar je logs
vullen met allemaal crap en dan heb ik maar een heel simpel
siteje waar maar 10 mensen komen en niet te vinden is in de
zoekmachines (volgens mij).
Dat je site niet in een zoekmachine staat zegt niets..
Wormen hebben de neiging om gewoon een reeks IP adressen af
te gaan en het blind te proberen..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.