FYI

Luis Mery lmery en portoprint.net
Mar Nov 12 14:16:57 CLST 2002 

Yes ... Un virus que ataca a ciertos apaches ...
Adjunto documentación.
Me costo pero la encontre ... 

------------------------------------------------------------------

Asunto:	Aviso de virus

Description   
O  

Entered on 10/10/2002 at 00:08:03 by Patricio Larrain: 
Estimado Cliente 

Hemos recibido un correo electrónico procedente de slovenia en el 
cual nos comentan que la dirección IP 200.73.5.20 estaría realizando 
ataques de denegación de servicios a las redes de "arnes.si". 

Te estoy adjuntando información relacionado con el gusano y la forma 
de eliminarlo. Mucho agradecería te pusieras en contacto con 
cualquier agentes de servicio a clientes haciendo alusión al numero 
de ticket 26948 ante cualquier duda que tengas. 

----TEXTO Explicativo del Virus------------------------------- 
Linux/Slapper-B 
Alias 
Worm.Linux.Slapper, Linux/Slapper.worm 

Tipo 
Gusano para Linux 

Detección 
El archivo de identidad de virus (IDE) que permite su detección está 
disponible en la sección Identidades de virus y vendrá incorporado 
en la edición de Noviembre 2002 (3.63) de Sophos Anti-Virus. 

Por el momento, Sophos no ha recibido noticia de ningún usuario 
afectado por este gusano. De cualquier modo, se ha enviado este 
aviso por el interés generado entre nuestros clientes. 

Este archivo IDE incluye la detección de Linux/Slapper-B y 
Linux/Slapper-C. 


Descripción 
Linux/Slapper-B es una variante de Linux/Slapper-A. Se trata de un 
gusano que intenta aprovecharse de la vulnerabilidad de 
desbordamiento de buffer en el componente OpenSSL en servidores 
Apache. Una vez activo, el gusano puede utilizarse para iniciar 
diversos ataques DoS (denial of service). 

Linux/Slapper-B se extiende entre sistemas a través del puerto TCP 
443 (SSL). Antes de conectar con este puerto, el gusano conecta con 
el puerto TCP 80 (HTTP) para obtener la versión del servidor Apache. 
Si el servidor resulta no ser Apache, el gusano no intentará la 
infección. 

El gusano busca: 

Red Hat con Apache 1.3.6, 1.3.9, 1.3.12, 1.3.19, 1.3.20, 1.3.22, 
1.3.23 y 1.3.26. 

SuSE con Apache 1.3.12, 1.3.17, 1.3.19, 1.3.20, 1.3.23. 

Mandrake con Apache 1.3.14, 1.3.19, 1.3.20, 1.3.23. 

Slackware con Apache 1.3.26. 

Debian con Apache 1.3.26. 

Gentoo con cualquier versión de Apache. 

Si no puede determinar el sistema o la versión del servidor Apache, 
el gusano asumirá que es Red Hat con Apache 1.3.23. 

Linux/Slapper-B conecta con el puerto TCP 443 (SSL) e intenta 
iniciar la shell (/bin/sh) en el sistema remoto utilizando el 
desbordamiento del buffer. Este agujero de seguridad en OpenSSL fue 
anunciado y resuelto en OpenSSL Security Advisory el 30 de julio de 
2002. 

Si Linux/Slapper-B consigue penetrar, el gusano ejecutará un script 
en la shell que ha iniciado. Este script contiene una copia del 
código fuente del gusano, que decodificará en el 
archivo /tmp/.unlock.c, lo compilará con gcc en el 
archivo /tmp/.unlock y lo ejecutará. El proceso .unlock se iniciará 
en el equipo infectado. 

Linux/Slapper-B depende enteramente de la presencia del compilador 
gcc además de ser ejecutable por el usuario de Apache. Sophos 
recomienda eliminar o limitar el acceso a dicho compilador en 
servidores Web. 

Una vez activo, Linux/Slapper-B abre una puerta trasera en el puerto 
UDP 4156, permitiendo así diferentes ataques desde el sistema 
infectado, como la ejecución de comandos, avalancha TCP, avalancha 
DNS y obtención de direcciones email en el sistema 

Más información (en inglés) para protegerse contra la familia de 
virus Slapper . 


Desinfección 
Vea la información (en inglés) para eliminar gusanos. 
Busque y termine cualquier proceso con el nombre: 
.unlock 

Borre los siguientes archivos: 
/tmp/.unlock 
/tmp/.unlock.c 
/tmp/.unlock.uu 
/tmp/.update.c 
/tmp/update 

-----Mensaje original-----
De: Jorge Severino [mailto:jorge en netsecure.cl] 
Enviado el: Martes, 05 de Noviembre de 2002 11:32
Para: bsd en inf.utfsm.cl
Asunto: SEMI OFF-TOPIC


Hola:

el viernes instale un redhat 7.2 pa poner un relay antivirus...todo bien,
llege ayer lunes. Me puse a revisarlo....y paffff sopresa...comienzo a ver
mucho trafico saliente y entrante...me dije que onda....fui a revisar el
/tmp y paffff otra sorpresa....habian cosas que yo no habia puesto
ahi....onda programas y archivos.... me puse a revisar estos programas y uno
era pbsync que es un servidor IRC y estaba en LISTEN y escuchando el
perla... me fije que los archivos de logs no fueron eliminados asi que los
saque fuera de ahi a un entorno mas seguro (bsd) para su posterior
analisis....

Me cuestione y me dije por donde @#|@~#@~@ entraron ?
> me puse a revisar los servicios...
> lo unico corriendo es smtp, y apache.
> sin ningun inet (ftp, portmap, rpc, ni nada de eso)
> el relay SMTP de TrendMicro...no creo
> el puerto de administracion del trendMicro ? no creo. AJA....el
> APACHE...ahi esta el queso... me puse a buscar en el CERT y 
> claro....en el temp tenia un archivo que se
llamaba .cinik
> y es un worm que ataca sistemas linux al mod_ssl....

parche la wea del SSL, y le puse otra tarjeta de red para colocarla en modo
promiscuo y sniffear intentos... y cache que eran lokos de austria...pero no
puedo hacer nada mas que bloquear sus IPs....

ASi que en eso me entretube ayer...

lo que pude rescatar como experiencia es que son puros lammers, ya que no se
preocupan de borrar logs ni huellas.... asi que actualize el kernel y el
apache y lo deje y hasta ahora ni un drama.... ademas estoy cortando sus
conexiones con TCP resets desde el OpenbSD..(Lo amo)...

http://www.cert.org/advisories/CA-2002-27.html


jorge...