Worm Plupii

Modérateur: Modérateurs et Modératrices

Worm Plupii

Messagede davidoff » 07 Nov 2005, 12:32

Bonjour vu sur Symantec


Products
Solutions
Services
Support
Architect Network


Locate A Partnerpopup
Become A Partner
Log In To PartnerNet


Corporate Profile
Management Team
Investor Relations

Home & Home Office
Small Business
Enterprise


News
Careers


Platinum Support
My Symantec
PartnerNet


Symantec | United States
WelcomeEnterpriseSmall BusinessHome & Home OfficePartnersAbout Symantec

Linux.Plupii
Category 2
Discovered on: November 06, 2005
Last Updated on: November 06, 2005 01:20:05 PM



Linux.Plupii is a worm with back door capabilities that spreads by exploiting several Web server-related vulnerabilities.



Type: Worm
Infection Length: 34,724 bytes



Systems Affected: Linux





protection
# Virus Definitions (LiveUpdate? Plus)


November 06, 2005
# Virus Definitions (LiveUpdate? Daily)


November 06, 2005
# Virus Definitions (LiveUpdate? Weekly)


November 09, 2005
# Virus Definitions (Intelligent Updater)


November 06, 2005

threat assessment

Wild

* Number of infections: 0 - 49
* Number of sites: 0 - 2
* Geographical distribution: Low
* Threat containment: Easy
* Removal: Easy



Threat Metrics
Low Medium Medium

Wild:
Low


Damage:
Medium


Distribution:
Medium

Damage

* Payload Trigger: n/a
* Payload: Opens a back door on the compromised computer.
o Large scale e-mailing: n/a
o Deletes files: n/a
o Modifies files: n/a
o Degrades performance: Generates URLs in order to scan for other computers to infect, which may affect network performance.
o Causes system instability: n/a
o Releases confidential info: n/a
o Compromises security settings: n/a

Distribution

* Subject of email: n/a
* Name of attachment: n/a
* Size of attachment: n/a
* Time stamp of attachment: n/a
* Ports: UDP port 7222.
* Shared drives: n/a
* Target of infection: n/a

technical details

When Linux.Plupii is executed, it performs the following actions:

1. Sends a notification message to the author of the threat to a remote IP address, through UDP port 7222.

2. Opens a back door on UDP port 7222, which enables a remote attacker to have unauthorized access to the compromised computer.

3. Generates URLs which include the following strings:

* /cgi-bin/
* /scgi-bin/
* /awstats/
* /cgi-bin/awstats/
* /scgi-bin/awstats/
* /cgi/awstats/
* /scgi/awstats/
* /scripts/
* /cgi-bin/stats/
* /scgi-bin/stats/
* /stats/
* /xmlrpc.php
* /xmlrpc/xmlrpc.php
* /xmlsrv/xmlrpc.php
* /blog/xmlrpc.php
* /drupal/xmlrpc.php
* /community/xmlrpc.php
* /blogs/xmlrpc.php
* /blogs/xmlsrv/xmlrpc.php
* /blog/xmlsrv/xmlrpc.php
* /blogtest/xmlsrv/xmlrpc.php
* /b2/xmlsrv/xmlrpc.php
* /b2evo/xmlsrv/xmlrpc.php
* /wordpress/xmlrpc.php
* /phpgroupware/xmlrpc.php
* /cgi-bin/includer.cgi
* /scgi-bin/includer.cgi
* /includer.cgi
* /cgi-bin/include/includer.cgi
* /scgi-bin/include/includer.cgi
* /cgi-bin/inc/includer.cgi
* /scgi-bin/inc/includer.cgi
* /cgi-local/includer.cgi
* /scgi-local/includer.cgi
* /cgi/includer.cgi
* /scgi/includer.cgi
* /hints.pl
* /cgi/hints.pl
* /scgi/hints.pl
* /cgi-bin/hints.pl
* /scgi-bin/hints.pl
* /hints/hints.pl
* /cgi-bin/hints/hints.pl
* /scgi-bin/hints/hints.pl
* /webhints/hints.pl
* /cgi-bin/webhints/hints.pl
* /scgi-bin/webhints/hints.pl
* /hints.cgi
* /cgi/hints.cgi
* /scgi/hints.cgi
* /cgi-bin/hints.cgi
* /scgi-bin/hints.cgi
* /hints/hints.cgi
* /cgi-bin/hints/hints.cgi
* /scgi-bin/hints/hints.cgi
* /webhints/hints.cgi
* /cgi-bin/webhints/hints.cgi
* /scgi-bin/webhints/hints.cgi

4. Sends HTTP requests to the URLs it generates, and attempts to spread by exploiting the following Web server-related vulnerabilities:

* The XML-RPC for PHP Remote Code Injection vulnerability (as described in Bugtraq ID 14088)
* The AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability (as described in Bugtraq ID 10950)
* The Darryl Burgdorf Webhints Remote Command Execution Vulnerability (as described in Bugtraq ID 13930)

5. Attempts to download and execute a copy of itself from the following Web site:

[http://]62.101.193.244/[REMOVED]/lupii

6. Saves the copy of the worm it downloads in Step 5 above as the following file:

/tmp/lupii


recommendations

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

* Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
* If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
* Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services (for example, all Windows-based computers should have the current Service Pack installed.). Additionally, please apply any security updates that are mentioned in this writeup, in trusted Security Bulletins, or on vendor Web sites.
* Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
* Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
* Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
* Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.

removal instructions

If your Symantec antivirus product detects Linux.Plupii, delete the infected files.

Once the threat attacks a computer, it is difficult to determine what else the computer has been exposed to. In most cases, changes other than those made by the threat will not have occurred. However, the author of the threat may have been able to use the threat to access the computer to make changes to it. Unless you can be absolutely sure that malicious activity has not been performed on the computer, we recommend completely reinstalling the operating system.


Write-up by: Takayoshi Nakayama

Site Index · Legal Notices · Privacy Policy · Site Feedback · Contact Us · Global Sites
©1995 - 2005 Symantec Corporation

Votre avis Docteur?

A plus
davidoff
 
Messages: 458
Inscription: 10 Mai 2005, 14:04
Localisation: sud ouest

Messagede bay » 07 Nov 2005, 13:51

Bonjour , il faudra peut etre prévoir un forum securité Linux . :?: :wink:
Prévoir l'insertion de l'adresse 62.101.193.244 dans le fichier host sous Linux.
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede piratebab » 07 Nov 2005, 23:19

Bonsoir,
si j'ai bien compris, il faut ouvrir un mail contenant une piéce jointe, puis exécuter celle ci.
Je pense que peu de linuxiens avertis fasse une telle bétise.
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5728
Inscription: 30 Aoû 2004, 18:20

Messagede davidoff » 08 Nov 2005, 00:39

Bonsoir
.
Tu as certainement raison pour ceux qui savent se proteger.

J'ai des amis qui ne savent pas se proteger de tout ce qui traine, malwares et worm et j' en passe... Ils sont sous windows.

Ils se sont decides a passer sous GNU linux pour surfer, email etc, etc. Pour moi c'est bien.

C'est vrai que [linux et moi] n'est pas trop actif par rapport a winxxx.

Si il pouvait grandir...

Ma mission en Asie Mineure est reculee pour pas mal de temps. Il est possible que je sois scotche en France jusqu ' a la fin de l'annee.

Ce qui peux me permettre de faire pas mal de recherches sur Mepis et Ubuntu KDE ( je prefere Debian) et de pouvoir y repondre.

Si vous etes d'accord, pour moi cela sera un plaisir

Bonne soiree

:D
davidoff
 
Messages: 458
Inscription: 10 Mai 2005, 14:04
Localisation: sud ouest

Messagede Jim Rakoto » 08 Nov 2005, 08:19

Salut,

Aucun problème :D :D

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Tesgaz » 08 Nov 2005, 09:01

Salut,

pourquoi faire tout un patacaisse sur une vulnérabilité qui n'est pas implémenter dans la majorité des systemes des linuxiens

symantec cherche juste à faire des effet d'annonce

ce type de vulnérabilité se trouve plutot du coté de certains hébergeurs qui sont succeptibles d'utiliser la combinaison de ces 3 programmes, sinon, la vulnérabilité ne fonctionne pas
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede piratebab » 08 Nov 2005, 20:43

Bonsoir,
si davidof cherche un sujet de recherche, je lui suggére la derniere version de udev, qui se passe de hotplug et qui fait démarrer la machine plus vite. Je ne l'ai pas encore sur ma machine dedian.
est ce vraiment efficace ? Comment ça marche ?
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5728
Inscription: 30 Aoû 2004, 18:20

Messagede davidoff » 09 Nov 2005, 16:31

Bonjour

Il est obligatoire d'avoir le kernel 2.6.x.x pour pouvoir utiliser udev.

Pour Udev qui permet de gerer les devices, Il est deja installe avec la ubuntu 5.10. C'est tres pratique car la reconnaissance des disques et de cles usb est semblable a window xp.
Exemple : ma cle usb nommee "usbdiskpro" sous win sera reconnue comme telle, et mon disque dur "DATA" comme tel sur ubuntu 5.10

Je ne pense pas que hotplug doit etre remplace car les deux sont presents dans ubuntu, et il n' y a pas de conflit. La version de udev est la 0.60

Par contre:

Sur Mepis la version udev est la 0.71.

Pourquoi Synaptic demande par default de desinstaller hotplug?

En acceptant de desinstaller hotplug et installer udev apres avoir redemarrer:

Plus de son: mon driver realtek pour les puces ALC880 n'est plus accessible.

Plus d'acces internet:

eth0 vide aucun moyen de se raccorder sur internet. je reconfigure DHCP, je valide, je redemarre, meme probleme.

Je tente en manu TCP IP , je valide, meme manip, toujours pas d'internet.

Donc je pense que hotplug est necessaire sur Mepis pour la configuration automatique du reseau, il supporte aussi PCI ce qui n'est pas rien.

Pourquoi Mepis veut il desinstaller par default ce paquet?

La version hotplug existante et a jour sur Mepis est la 3:0.0.20040329-17.

Sur ubuntu la version hotplug :0.0.20040329--22ub. Il semblerait qu'il y a eu des modifications sur ubuntu de cette version

Pourtant toutes les deux sont des bases Debian.

Donc udev fonctionne tres bien sur une distribution sans rien perturber .
Et pas sur l'autre: perte de son et de reseau.

Il m' a fallu moins d'une heure pour restaurer Mepis tout seul.Lors de mise a jour assez hasardeuse (on sais ce que l'on veut mais on ne sais pas si ca va marcher . Garder le disk Mepis live et lors de l'install ne pas oublier de sauvegarder Home (cocher la case)

Il est possible que mon ordinateur ne soit pas le meilleur pour faire des tests car il s'agit d'un barebone proprietaire:

Pour Mepis:

shuttle xpc sb95p v2
P4 prescott 3.2Ghz
1024 Mo de ram Kingston DDR2
300Go (les deux en SATA)
PCI express
Chipset audio realtek high definition ALC880
Carte graphique AtTI 850 XT.

Deja j'ai du mal a faire reconnaitre ce matos sous XP alors sous Mepis... Mais pour le moment tout fonctionne.

Le deuxieme ordinateur est plus classique.

Pour Ubuntu:

Acer travelmate 290 LCI
Pentium M 1.5Go
1024 GO de ram
Carte graphique ATI Radeon 9700
Chipset son Realtek AC 97

Aucun probleme, tout est reconnu.

Si l'un d'entre vous a une explication?

:?: :)

A plus
davidoff
 
Messages: 458
Inscription: 10 Mai 2005, 14:04
Localisation: sud ouest

Messagede Jim Rakoto » 09 Nov 2005, 20:17

Salut

Il y a actuellement des problèmes importants de reconnaissance cartes PCI et son, suite à un passage à la version 0.159-1 de hwdata et lié également à meauto-data. (pcitables étant carrément effacé)

Une correction est possible d'après Mepis org avec 0.159-2.

Donc sans même toucher à udev (j'ai la version 0.071-1 sur Mepis testing ou ech), la reconnaissance de ces cartes est déjà actuellement problématiques.

Il faudrait peut-être re-tester quand il sera clair que le problème hwdata est complétement résolu.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede piratebab » 09 Nov 2005, 21:35

Bonsoir,
sur une debian testing, j'ai la 0.70 de udev, et j'ai bloqué les mises à jour. Si je veux passer à la 0.71, hotplug sera viré. Je n'ai pas tout bien compris vos infos. est ce que je prends un risque si je fais la mise à jour ?
revenir en arriere est toujours possible, mais délicat.
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5728
Inscription: 30 Aoû 2004, 18:20

Suivante

Retourner vers Linux (toutes distributions) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités

cron