Linux.Darlloz féreg

CH azonosító

CH-10056

Angol cím

Linux.Darlloz worm

Felfedezés dátuma

2013.11.27.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

Linux.Darlloz féreg egy PHP sérülékenység kihasználásával terjed.

Leírás

Linux.Darlloz féreg egy PHP sérülékenység kihasználásával terjed.

További információ

A PHP olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva bizalmas adatokat szerezhetnek, vagy feltörhetik a sérülékeny rendszert. További információ a hivatkozásoknál található.

Ha a célpont sérülékeny akkor a [http:]//www.gpharma.co oldalról tölti le a férget.

Amikor a letöltés kész, másolódik a /tmp/x86 állományba.

Létrehozza a következő mappát: /var/run/.zollard/

Megpróbálja betölteni a ip_tábla vagy iptable állományt a következő helyekről

  • /lib/modules/[OS VERSION]/kernel/net/ipv4/netfilter/ip_tables.ko
  • /lib/modules/[OS VERSION]/kernel/net/ipv4/netfilter/iptable_filter.ko

A féreg konfigurálja az iptáblát hogy utasítsa el a 23-as TCP portról jövő csomagokat, és megakadályozza  a távoli csatlakozást a számítógéphez.

Megpróbálja befejezni a következő folyamatot: telnetd 

Megpróbálja befejezni a következő folyamatokat és törölni az állományokat:

  • /var/run/.lightpid
  • /var/run/.aidrapid
  • /var/run/lightpid

Törli a következő állományokat:

  • /var/run/.lightscan
  • /var/run/lightscan
  • /var/run/mipsel
  • /var/run/mips
  • /var/run/sh
  • /var/run/arm
  • /var/run/ppc
  • /var/run/m
  • /var/run/mi
  • /var/run/s
  • /var/run/a
  • /var/run/p
  • /var/run/msx
  • /var/run/mx
  • /var/run/sx
  • /var/run/ax
  • /var/run/px
  • /var/run/32
  • /var/run/sel
  • /var/run/pid
  • /var/run/gcc
  • /var/run/dev
  • /var/run/psx
  • /var/run/mpl
  • /var/run/mps
  • /var/run/sph
  • /var/run/arml
  • /var/run/mips.l
  • /var/run/mipsell
  • /var/run/ppcl
  • /var/run/shl
  • /bin/pp
  • /bin/mi
  • /bin/mii
  • /var/tmp/dreams.install.sh
  • /var/tmp/ep2.ppc
  • /usr/bin/wget
  • /usr/bin/-wget

Véletlenszerű IP címeket generál, kivéve az alábbiakat:

  • 0.0.0.0 – 0.255.255.255
  • 127.0.0.1 – 127.255.255.255
  • 192.0.2.0 – 192.0.2.255
  • 198.51.100.0 – 198.51.100.255
  • 203.0.113.0 – 203.0.113.255
  • 255.255.255.255

Ha az IP cím elérhető megpróbálja elérni a következőket:

  • /cgi-bin/php
  • /cgi-bin/php5
  • /cgi-bin/php-cgi
  • /cgi-bin/php.cgi
  • /cgi-bin/php4

Ha felhasználói hitelesítés szükséges megpróbálja a következő konbinációkat:

  • admin/admin
  • root/[BLANK]
  • root/root
  • admin/1234
  • admin/12345
  • root/admin
  • root/dreambox
  • admin/smcadmin
  • admin/[BLANK]

Megoldás

  • Használjon Tűzfalat, és blokkolja az összes bejövő kapcsolatot amelyek olyan folyamatot akar elérni mely nem publikus.
  • Használjon jelszavas házirendet.
  • A programok és a felhasználók a lehető legalacsonyabb jogosultságokat használják.
  • Automatikus program indítás kikapcsolása (AutoPlay).
  • Kapcsolja ki a megosztást, ha nem sükséges. Használjon ACL-t vagy jelszavas védelmet.
  • Kapcsolja ki a szükségtelen folyamatokat.
  • Tartsa naprakészen a nyilvános szolgáltatásokat ( HTTP, FTP, mail, és DNS).
  • Állítsa be a levelezőszervert, hogy megakadályozza az olyan levelek beérkezését amelyben tipikusan fertőzésre használhatnak(.vbs, .bat, .exe, .pif és .scr).
  • Tájékoztassa az alkalmazottjait, hogy kerüljék a gyanús csatolmányok megnyitását.
  • Ha nem szükséges kapcsolja ki a bluetooth modult. Ha szükséges akkor használja a rejtett módot.