Нашествие Apache worm: Scalper.Worm

8 июля 2002 года

Первенцем среди червей использующих "сhunk-encoding" переполнение буфера в Apache (FreeBSD.Scalper.Worm) уже поставлены в затруднительное положение многие российские провайдеры. Червь расползается с поразительной быстротой, несмотря на то, что воздействию его подвержены только FreeBSD 4.x с версией apache младше 1.3.26 (прогнозируют скорый выход аналога для Linux). В то время, как apache на серверах большинства ISP был обновлен еще в впервые дни обнаружения ошибки, проблему представляют клиенты и забытые под "столом" сервера, не первый год работающие в автономном режиме.

Буквально через несколько минут после активации червя, канал пользователя оказывается загруженным практически на 100%.

В /tmp червь создает файл .uua, затем из него формируется, через uudecode, файл /tmp/.a, после активации которого (можно обнаружить по ps -auxwww|grep '.a', запущен под uid как и apache) производится хаотичное сканирование сетей для дальнейшего распространения (зафиксировано до 100000 запросов в 5 мин, что приводит к DoS атаке). Червь предполагает возможность удаленного управления (используется udp port 2001), можно удаленно получить доступ к системным файлам, запускать и закачивать файлы, производить рассылку на email и флуд определенных адресов.

Источники[править]

• Главная ссылка к новости (http://news.com.com/2100-1001-...)
• How the Apache worm could have been prevented
• Few signs of life in Apache worm
• Описание работы и исходные тексты apache-worm
• Червь Scalper использует бреши в популярном web сервере "Apache"

Эта статья содержит материалы из статьи «Нашествие Apache worm (Scalper.Worm)», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.

Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Пожалуйста, прочтите правила общения и оформления реплик на портале Викиновости

Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.

Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.

Несколько советов по оформлению реплик:

• Новые темы начинайте, пожалуйста, снизу.
• Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
• Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
• Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.

Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.

Добавить комментарий

	Имеете своё мнение на этот счёт?
Оставьте свой комментарий

	Поделитесь новостью с друзьями
Телеграм Фейсбук Твиттер ВК ОК ЖЖ