Worm Lupper infecta aproveitando-se de falha no XML-RPC em PHP
O verme Lupper, feito para o ambiente Linux, permite a invasão de servidores web que utilizam o PHP como linguagem de script. O Lupper explora uma vulnerabilidade localizada na linguagem PHP. Ele ataca servidores web mediante o envio de comandos HTTP defeituosos pela porta 80. Se o servidor estiver rodando algum script PHP vulnerável, em URLs e outras condições especiais, uma cópia do Lupper pode ser baixada para o sistema. Os servidores infectados com o Lupper podem, por exemplo, tornar-se plataformas de apoio para ataques de negação de serviço distribuída (DDoS), já que o verme aceita comandos externos. Apesar disso, o grau de risco do Lupper é baixo. Veja o texto completo em Plantão Info - Verme para Linux explora falha no PHP.
Segundo o LWN, possíveis sinais de infecção são a existência de processos escutando nas portas 7111 e 7112, e a presença de um arquivo /tmp/lupii. O BR-Linux mencionou pela primeira vez este bug em uma implementação comum de XML-RPC em PHP no final de junho - veja mais detalhes sobre o bug. Versões desatualizadas de softwares populares como Wordpress, Drupal, PHPGroupware, PostNuke, PHPMyFAQ e vários outros podem estar em risco.
Hora de conferir os upgrades!
(postado por Augusto Campos)
Comentários dos leitores
Comentário de Arkanoid
10/11/05 10:38 - usuário registrado #475
O que, aliás, é uma recomen: O que, aliás, é uma recomendação comum para "hardening" de servidores unix.
--
Distribuidor Regional de Falácia Inglesa Enlatada
--
Distribuidor Regional de Falácia Inglesa Enlatada
Comentário de my name is foo
10/11/05 11:25
Fear: A manchete poderia ser assim: `Terrível Verme para Linux em PHP pode trazer dor e ranger de dentes a humidade!' ou quem sabe `Apocalipse: Verme no PHP, salve-se enquanto há tempo!'. A Winfo Exame está de parabéns. Sempre leio a renomada FUDinfo Exame. ;)
Comentário de nemesis
10/11/05 11:39 - usuário registrado #1514
ele ataca PHP, então ataca q: ele ataca PHP, então ataca qualquer plataforma na qual PHP rode. ou não?
Na realidade, já vi várias vezes problemas com interface para XML-RPC, que é a forma mais comum e simples de se implementar webservices. O próprio Python já teve problemas com essa biblioteca, então talvez o buraco seja mais embaixo...
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
Na realidade, já vi várias vezes problemas com interface para XML-RPC, que é a forma mais comum e simples de se implementar webservices. O próprio Python já teve problemas com essa biblioteca, então talvez o buraco seja mais embaixo...
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
Comentário de Patola
10/11/05 15:07 - usuário registrado #184
Verme: É um verme, não um vírus. De qualquer jeito, o risco é muito baixo justamente porque o ambiente é pouco propício e o GNU/Linux é bem diverso. Em outras palavras, um programa desses oferece muito pouco perigo real: estatisticamente, ele é insignificante. Você conhece alguém que foi vítima dele? Aí compare (relativamente) tirando uma estatística de quem você conhece que pegou vírus no Windows.
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org
Comentário de Everaldo Canuto
10/11/05 16:33 - usuário registrado #48
Eu tive problemas com ele...: Eu tive problemas com ele... mas já atualizei meu Drupal.
Comentário de Ananias
10/11/05 20:59 - usuário registrado #444
Diferença: Verme, vírus... mero formalismo.
A rigor, a grande maioria dos "vírus" que infectaram os Windows recentemente também eram "vermes".
--
http://br-linux.blogspot.com
Não é tira-teima de nada, mas é interessante
A rigor, a grande maioria dos "vírus" que infectaram os Windows recentemente também eram "vermes".
--
http://br-linux.blogspot.com
Não é tira-teima de nada, mas é interessante
Comentário de Douglas Augusto
10/11/05 22:24 - usuário registrado #12
Mas é claro que Linux pega v: Mas é claro que Linux pega vírus, acho que nenhum usuário sensato e com mínimo conhecimento diria o contrário. O vírus nada mais é do que um programa executável de computador; Linux roda programas.
Instale como root por exemplo um pacote contaminado. Ainda, qualquer software com acesso root que tenha bug de segurança está vulnerável, principalmente aqueles que lidam diretamente com redes externas (como a internet).
Para ser mais preciso, esse vírus não é um problema do Linux (o kernel), e sim um bug PHP que roda em um servidor web (Apache, provavelmente) com poder de administrador. Aliás, a reportagem da Info foi bem precisa nesse ponto:
O verme Lupper, feito para o ambiente Linux, permite a invasão de servidores web que utilizam o PHP como linguagem de script.
--
FLTK fltk.org (Fast Light C++ GUI Toolkit)
Instale como root por exemplo um pacote contaminado. Ainda, qualquer software com acesso root que tenha bug de segurança está vulnerável, principalmente aqueles que lidam diretamente com redes externas (como a internet).
Para ser mais preciso, esse vírus não é um problema do Linux (o kernel), e sim um bug PHP que roda em um servidor web (Apache, provavelmente) com poder de administrador. Aliás, a reportagem da Info foi bem precisa nesse ponto:
O verme Lupper, feito para o ambiente Linux, permite a invasão de servidores web que utilizam o PHP como linguagem de script.
--
FLTK fltk.org (Fast Light C++ GUI Toolkit)
Comentário de Patola
10/11/05 22:34 - usuário registrado #184
a ref: O seu link está errado, troque "a ref" por "a href".
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org
--
LinuxFUD, o TIRA-TEIMA dos ataques ao software livre: http://linuxfud.org
Comentário de Ananias
10/11/05 22:59 - usuário registrado #444
Obrigado: E boa resposta :)
--
http://br-linux.blogspot.com
Não é tira-teima de nada, mas é interessante
--
http://br-linux.blogspot.com
Não é tira-teima de nada, mas é interessante
Comentário de ano@nimo.com
11/11/05 1:07
"O vírus nada mais é do que: "O vírus nada mais é do que um programa executável de computador; Linux roda programas."
Exatamente ! Mas:
Se expor a virus/worms ao instalar software ou permitir acesso fisico de estranhos ao PC é uma coisa. Mas aceitar que no Linux infestação remota seja tão normal quanto no Windows é inaceitavel !
O LINUX TEM QUE SER SER MAIS SEGURO !!!! Pelo menos o kernel, coreutils e o X !
Exatamente ! Mas:
Se expor a virus/worms ao instalar software ou permitir acesso fisico de estranhos ao PC é uma coisa. Mas aceitar que no Linux infestação remota seja tão normal quanto no Windows é inaceitavel !
O LINUX TEM QUE SER SER MAIS SEGURO !!!! Pelo menos o kernel, coreutils e o X !
Comentário de Roger de Almeida
11/11/05 23:37
SIM!!: O Linux/Lupper.Worm é uma derivação do Linux/Slapper, verme também existente para BSD. Dessa forma ele é multiplataforma.
O Lupper faz o seguinte: Ele envia uma requisição na porta 80. Se o PHP estiver com a vulnerabilidade, um shell script é executado, permitindo o download do Lupper para o servidor.
Mesmo assim, o Lupper não terá vida fácil, a não ser que o Apache seja executado com usua?io root. Acho que ninguém faz isso.
No entanto, mesmo com a vulnerabilidade, pode-se dar um jeito nisso. O primeiro comentário MATOU o verme!! Todavia é sempre recomendável manter uma configuração diferente da padrão. Não basta instalar e pronto. Tem que criar um ambiente "terrível" para aqueles que tentarem penetrar no sistema.
Isso que faz o GNU/Linux ser mais seguro, a flexibilidade na configuração.
[]
Roger
O Lupper faz o seguinte: Ele envia uma requisição na porta 80. Se o PHP estiver com a vulnerabilidade, um shell script é executado, permitindo o download do Lupper para o servidor.
Mesmo assim, o Lupper não terá vida fácil, a não ser que o Apache seja executado com usua?io root. Acho que ninguém faz isso.
No entanto, mesmo com a vulnerabilidade, pode-se dar um jeito nisso. O primeiro comentário MATOU o verme!! Todavia é sempre recomendável manter uma configuração diferente da padrão. Não basta instalar e pronto. Tem que criar um ambiente "terrível" para aqueles que tentarem penetrar no sistema.
Isso que faz o GNU/Linux ser mais seguro, a flexibilidade na configuração.
[]
Roger
Nadal