Összefoglaló
Linux.Darlloz féreg egy PHP sérülékenység kihasználásával terjed.
Leírás
Linux.Darlloz féreg egy PHP sérülékenység kihasználásával terjed.
További információ
A PHP olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva bizalmas adatokat szerezhetnek, vagy feltörhetik a sérülékeny rendszert. További információ a hivatkozásoknál található.
Ha a célpont sérülékeny akkor a [http:]//www.gpharma.co oldalról tölti le a férget.
Amikor a letöltés kész, másolódik a /tmp/x86 állományba.
Létrehozza a következő mappát: /var/run/.zollard/
Megpróbálja betölteni a ip_tábla vagy iptable állományt a következő helyekről
- /lib/modules/[OS VERSION]/kernel/net/ipv4/netfilter/ip_tables.ko
- /lib/modules/[OS VERSION]/kernel/net/ipv4/netfilter/iptable_filter.ko
A féreg konfigurálja az iptáblát hogy utasítsa el a 23-as TCP portról jövő csomagokat, és megakadályozza a távoli csatlakozást a számítógéphez.
Megpróbálja befejezni a következő folyamatot: telnetd
Megpróbálja befejezni a következő folyamatokat és törölni az állományokat:
- /var/run/.lightpid
- /var/run/.aidrapid
- /var/run/lightpid
Törli a következő állományokat:
- /var/run/.lightscan
- /var/run/lightscan
- /var/run/mipsel
- /var/run/mips
- /var/run/sh
- /var/run/arm
- /var/run/ppc
- /var/run/m
- /var/run/mi
- /var/run/s
- /var/run/a
- /var/run/p
- /var/run/msx
- /var/run/mx
- /var/run/sx
- /var/run/ax
- /var/run/px
- /var/run/32
- /var/run/sel
- /var/run/pid
- /var/run/gcc
- /var/run/dev
- /var/run/psx
- /var/run/mpl
- /var/run/mps
- /var/run/sph
- /var/run/arml
- /var/run/mips.l
- /var/run/mipsell
- /var/run/ppcl
- /var/run/shl
- /bin/pp
- /bin/mi
- /bin/mii
- /var/tmp/dreams.install.sh
- /var/tmp/ep2.ppc
- /usr/bin/wget
- /usr/bin/-wget
Véletlenszerű IP címeket generál, kivéve az alábbiakat:
- 0.0.0.0 – 0.255.255.255
- 127.0.0.1 – 127.255.255.255
- 192.0.2.0 – 192.0.2.255
- 198.51.100.0 – 198.51.100.255
- 203.0.113.0 – 203.0.113.255
- 255.255.255.255
Ha az IP cím elérhető megpróbálja elérni a következőket:
- /cgi-bin/php
- /cgi-bin/php5
- /cgi-bin/php-cgi
- /cgi-bin/php.cgi
- /cgi-bin/php4
Ha felhasználói hitelesítés szükséges megpróbálja a következő konbinációkat:
- admin/admin
- root/[BLANK]
- root/root
- admin/1234
- admin/12345
- root/admin
- root/dreambox
- admin/smcadmin
- admin/[BLANK]
Megoldás
- Használjon Tűzfalat, és blokkolja az összes bejövő kapcsolatot amelyek olyan folyamatot akar elérni mely nem publikus.
- Használjon jelszavas házirendet.
- A programok és a felhasználók a lehető legalacsonyabb jogosultságokat használják.
- Automatikus program indítás kikapcsolása (AutoPlay).
- Kapcsolja ki a megosztást, ha nem sükséges. Használjon ACL-t vagy jelszavas védelmet.
- Kapcsolja ki a szükségtelen folyamatokat.
- Tartsa naprakészen a nyilvános szolgáltatásokat ( HTTP, FTP, mail, és DNS).
- Állítsa be a levelezőszervert, hogy megakadályozza az olyan levelek beérkezését amelyben tipikusan fertőzésre használhatnak(.vbs, .bat, .exe, .pif és .scr).
- Tájékoztassa az alkalmazottjait, hogy kerüljék a gyanús csatolmányok megnyitását.
- Ha nem szükséges kapcsolja ki a bluetooth modult. Ha szükséges akkor használja a rejtett módot.