|
VSantivirus No. 1950 Año 9, miércoles 9 de noviembre de 2005
Lupper.A. Infecta servidores bajo Linux, usa PHP, etc.
http://www.vsantivirus.com/lupper-a.htm
Nombre: Lupper.A
Nombre NOD32: Linux/Lupper.A
Tipo: Gusano de Internet (Linux)
Alias: Lupper.A, Backdoor.Linux.Small.al, ELF_LUPPER.A, Exploit.Linux.Lupii, Exploit.Linux.Small.x, Linux.Lupii, Linux.Plupii, Linux/Lupper.A, Linux/Lupper.B, Linux/Lupper.worm, Linux/Lupper.X-exploit, Linux/Lupper-B, linux-lupper, Net-Worm.Linux.Lupper.a, Unix/Lupii.A
Fecha: 8/nov/05
Plataforma: Unix (Linux)
Tamaño: 34,724 bytes
Gusano que se propaga utilizando varias vulnerabilidades en servidores de Internet bajo Linux.
Cuando se ejecuta, abre una puerta trasera en el puerto UDP 7222, y envía un mensaje de notificación a una dirección IP remota.
Genera enlaces que incluyen las siguientes cadenas:
/awstats/
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/cgi/awstats/
/cgi/hints.cgi
/cgi/hints.pl
/cgi/includer.cgi
/cgi-bin/
/cgi-bin/awstats/
/cgi-bin/hints.cgi
/cgi-bin/hints.pl
/cgi-bin/hints/hints.cgi
/cgi-bin/hints/hints.pl
/cgi-bin/inc/includer.cgi
/cgi-bin/include/includer.cgi
/cgi-bin/includer.cgi
/cgi-bin/stats/
/cgi-bin/webhints/hints.cgi
/cgi-bin/webhints/hints.pl
/cgi-local/includer.cgi
/community/xmlrpc.php
/drupal/xmlrpc.php
/hints.cgi
/hints.pl
/hints/hints.cgi
/hints/hints.pl
/includer.cgi
/phpgroupware/xmlrpc.php
/scgi/awstats/
/scgi/hints.cgi
/scgi/hints.pl
/scgi/includer.cgi
/scgi-bin/
/scgi-bin/awstats/
/scgi-bin/hints.cgi
/scgi-bin/hints.pl
/scgi-bin/hints/hints.cgi
/scgi-bin/hints/hints.pl
/scgi-bin/inc/includer.cgi
/scgi-bin/include/includer.cgi
/scgi-bin/includer.cgi
/scgi-bin/stats/
/scgi-bin/webhints/hints.cgi
/scgi-bin/webhints/hints.pl
/scgi-local/includer.cgi
/scripts/
/stats/
/webhints/hints.cgi
/webhints/hints.pl
/wordpress/xmlrpc.php
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
El gusano envía solicitudes HTTP a los enlaces antes generados, para intentar propagarse utilizando conocidas vulnerabilidades en servidores bajo Linux.
Una de las vulnerabilidades empleadas por el gusano, fue hecha publica recientemente, y está relacionada con la posibilidad de inyectar código en páginas PHP en un entorno XML-RPC, lo que permite la ejecución de código en el contexto del servidor Web.
PHP, acrónimo de "PHP: Hypertext Preprocessor", es un lenguaje interpretado de alto nivel, y de código abierto, que se ejecuta en el servidor, y puede estar embebido en páginas HTML. Permite desarrollar páginas web dinámicas de una manera rápida y fácil.
El protocolo XML-RPC es la implementación estandarizada de un lenguaje basado en XML, utilizado en muchos servicios Web.
Otras vulnerabilidades explotadas por este gusano están relacionadas con las utilidades AWStats (Advanced Web Statistics, una herramienta que genera estadísticas gráficas para sitios web), y Webhints (permite agregar citas diarias, etc.).
El gusano intenta descargar desde una determinada página web, una copia de si mismo en los sitios a los que apuntan los enlaces, pero dicho archivo no está disponible al momento actual.
El archivo sería copiado en la siguiente ubicación:
/tmp/lupii
Limpieza del sistema
NOTA: Un sistema afectado por este gusano, debería ser totalmente reinstalado, y los datos restaurados desde respaldos limpios, ya que al abrirse una puerta trasera en el servidor, que permite el acceso remoto a intrusos, jamás se podrá saber el grado de compromiso al sistema que se pueda haber alcanzado.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|