Gå til innhold

Linux-orm utnytter Mambo/PHP

int20h

Av int20h
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
daffyd

daffyd

Skrevet
Skrevet (endret)

Av ren nysgjerrighet: Siden denne ormen utnytter svakheter i PHP og Mambo (som kjører på PHP?), vil ikke teoretiskt også windows-systemer med PHP og Mambo være utsatt for samme hull? Eller er dette et problem som er knyttet til PHP-implementasjonen på Linux? Eller er det slik at ormen kun har kode for å infisere linux-systemer og ikke rører windows-systemer med samme hull? Eller er det slik at det at det fins ormer for windows ikke er interessant, og derfor ikke nevnes i artikkelen?

 

Forøvrig finner man patch for dette hullet både for windows og linux på www.mamboserver.com (Noe jeg antar alle som bruker Mambo er fullstendig klare over :D)

Investigations by GulfTech Research And Development have revealed a long standing weakness in Mambo that could allow a hacker to compromise sites built on Mambo. The firms findings will be published in about a week's time.

Endret av daffyd
Lenke til kommentar
espenfjo

espenfjo

Skrevet
Skrevet

Nå vil jeg anta at dette ikke er noen stor trussel, siden ingen kjører hverken apache (mambo) eller PHP som root? At et virus får tilgang til httpd-brukeren, eller daemon/nobody-brukeren er jo ikke så veldig kritisk, man får jo ikke utført noe kritisk på offerets maskin..

Lenke til kommentar
tyldum

tyldum

Skrevet
Skrevet
Nå vil jeg anta at dette ikke er noen stor trussel, siden ingen kjører hverken apache (mambo) eller PHP som root? At et virus får tilgang til httpd-brukeren, eller daemon/nobody-brukeren er jo ikke så veldig kritisk, man får jo ikke utført noe kritisk på offerets maskin..

5640630[/snapback]

 

Dette er litt farlig tankegang... Det er veldig mange som venter med å patche lokale hull (f.eks feil i kjernen som kan utnyttes lokalt for å bli root) siden det er kun sysadmin som har konto. Med et hull i en applikasjon står du plutselig helt naken...

Lenke til kommentar
jorgis

jorgis

Skrevet
Skrevet
Nå vil jeg anta at dette ikke er noen stor trussel, siden ingen kjører hverken apache (mambo) eller PHP som root? At et virus får tilgang til httpd-brukeren, eller daemon/nobody-brukeren er jo ikke så veldig kritisk, man får jo ikke utført noe kritisk på offerets maskin..

5640630[/snapback]

 

Om et virus tar over httpd-brukeren (www-data er vel default apache-bruker, tror jeg) er det i det minste nok til å deface en side, eller tømme siden helt. Det er mer enn nok arbeid å få en side på bena igjen etter at noen har gjort noe sånt, vil jeg si... :)

Lenke til kommentar
daffyd

daffyd

Skrevet
Skrevet
Nå vil jeg anta at dette ikke er noen stor trussel, siden ingen kjører hverken apache (mambo) eller PHP som root? At et virus får tilgang til httpd-brukeren, eller daemon/nobody-brukeren er jo ikke så veldig kritisk, man får jo ikke utført noe kritisk på offerets maskin..

5640630[/snapback]

 

Om et virus tar over httpd-brukeren (www-data er vel default apache-bruker, tror jeg) er det i det minste nok til å deface en side, eller tømme siden helt. Det er mer enn nok arbeid å få en side på bena igjen etter at noen har gjort noe sånt, vil jeg si... :)

5646140[/snapback]

 

Man har da vel backup? ;)

 

Men, jeg har fortsatt ikke fått noe svar på hvordan tilstanden er for windows? Fikk inntrykk av at samme hull fins der, og der kjører de aller fleste som admin... Dermed burde dette hullet være potensielt mye større for windows-bokser?

Lenke til kommentar
jorgis

jorgis

Skrevet
Skrevet
Nå vil jeg anta at dette ikke er noen stor trussel, siden ingen kjører hverken apache (mambo) eller PHP som root? At et virus får tilgang til httpd-brukeren, eller daemon/nobody-brukeren er jo ikke så veldig kritisk, man får jo ikke utført noe kritisk på offerets maskin..

5640630[/snapback]

 

Om et virus tar over httpd-brukeren (www-data er vel default apache-bruker, tror jeg) er det i det minste nok til å deface en side, eller tømme siden helt. Det er mer enn nok arbeid å få en side på bena igjen etter at noen har gjort noe sånt, vil jeg si... :)

5646140[/snapback]

 

Man har da vel backup? ;)

 

Men, jeg har fortsatt ikke fått noe svar på hvordan tilstanden er for windows? Fikk inntrykk av at samme hull fins der, og der kjører de aller fleste som admin... Dermed burde dette hullet være potensielt mye større for windows-bokser?

5646290[/snapback]

 

Hadde også vært greit å finne ut hvilke PHP-versjoner som er rammet (er ikke PHP XML-RPC innebygd i PHP på en eller annen måte?), og om fix er tilgjengelig uten å patche XML-RPC-modulen direkte.

 

Og store gutter tar ikke backup (men griner ofte)... :p

Lenke til kommentar
zzzneo

zzzneo

Skrevet
Skrevet
"It must be a slow news week."

 

Heh..

Hver gang programvare som ikke er laget av Microsoft blir nevnt i sammenheng med virus/ormer/malware, osv, så jubler alle "data-journalister" og slenger ut artikler uten å gjøre research i det heletatt. Spesielt hvis det gjelder "Linux" eller Apple programvare, som så og si ikke egentlig har dette problemet.

 

les her:

 

http://www.mamboserver.com/ - ser ut til at det er patchet for lengesiden

 

http://software.silicon.com/malware/0,3800...39156721,00.htm - anbefaler virkelig å lese denne.

 

 

 

disclaimer:

Vel, jeg gjorde ikke så mye research selv, men for meg ser dette ut til å være bare tull. Er ikke engang et forsøk fra antivirusbransjen for å prøve å komme seg inn på nye markeder.

Lenke til kommentar
lotto-kim

lotto-kim

Skrevet
Skrevet

Følgende versoner av php er sårbare av XML-RPC bugen:

 

4.3.11, 4.3.10, 4.3.9, 4.3.8, 4.3.7, 4.3.6, 4.3.5, 4.3.4, 4.3.3, 4.3.2, 4.3.1. 4.3, 4.2.3, 4.2.2, 4.2.1, 4.2 .0, 4.2 -dev, 4.1.2, 4.1.1, 4.1 .0, 4.0.7 RC3, 4.0.7 RC2, 4.0.7 RC1, 4.0.7, 4.0.6, 4.0.5. 4.0.4, 4.0.3 pl1,

4.0.3, 4.0.2, 4.0.1 pl2, 4.0.1 pl1, 4.0.1, 4.0

 

Windows er like mye utsatt som Linux, men hvor mange velger å benytte seg av apache og php på windows fremfor å kjøre dette på Linux? nesten ingen. Ormene vil jo derfor gå etter Linux i stedefor Windows.

 

Flere av disse ormene som går rundt på nettet benytter seg av google til å søke etter andre sårbare sider og raporterer alle funn til en kanal på IRC-server.

 

Et system som er angrepet kan blant annet benyttes til UDP-angrep mot andre hoster. Disse angrepene fører ofte til at servern scriptene kjører i fra får meget høy load, som gjør at apace får problemer med å serve sider som den skal.

Lenke til kommentar
jorgis

jorgis

Skrevet
Skrevet

Forhåpentligvis vil dette føre til at flere oppgraderer til PHP5, såfremt ikke PHP slipper 4.3.12 meget snart. Synes det er litt drøyt at hele to år etter lansering kjører enda ikke mange nok PHP 5, og når PHP 6 kommer, vil vi ende opp med at det er tre forskjellige versjoner som lever side om side som man må tenke på når man utvikler programvare... :/

 

Men godt å vite at min server er trygg, i hvert fall, siden den kjører 5.0.5. :)

Lenke til kommentar
lotto-kim

lotto-kim

Skrevet
Skrevet
Forhåpentligvis vil dette føre til at flere oppgraderer til PHP5, såfremt ikke PHP slipper 4.3.12 meget snart. Synes det er litt drøyt at hele to år etter lansering kjører enda ikke mange nok PHP 5, og når PHP 6 kommer, vil vi ende opp med at det er tre forskjellige versjoner som lever side om side som man må tenke på når man utvikler programvare... :/

 

Men godt å vite at min server er trygg, i hvert fall, siden den kjører 5.0.5. :)

5676406[/snapback]

 

Det kommer nok aldri noen PHP 4.3.12, 4.3.11 var den siste før 4.4.

 

Grunnen til at mange i dag ikke kjører php5 er jo fordi dette ikke er støttet av enterprise distroene.

 

Jeg tror heller ikke at php5 noen gang kommer til å gjøre det siden det er bare en beta til PHP6 som kommer snart.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...