Er is sinds kort weer een worm bij, genaamd "Linux.Slapper.Worm". Het is deze keer een Linux worm die gebruik maakt van een hole in SSL. De worm werd voor het eerst gesignaleerd in Roemenië en Portugal.
Symantec meldt ons dat de worm op poort 80 connect en dan een ongeldige GET request naar de server zendt om het Apache systeem te identificeren. Zodra er een Apache gevonden is stuurt hij via poort 443 de exploit naar de SSL service op het systeem van het slachtoffer.
De Linux shell code exploit waar de worm gebruik van maakt vereist de aanwezigheid van de shell command "/bin/sh" om te werken. De worm codeert zijn eigen sourcecode genaamd ".bugtraq.c" met UU encoding, verstuurt het naar het slachtoffer en decodeert het weer. Hierna gebruikt het gcc om het te compilen en runt de binary ".bugtraq". Deze bestanden worden geplaatst in de /tmp directory.
Nadat het ontstane programma wordt uitgevoerd wordt het een deel van een virtueel netwerk, waarvan de leden communiceren door middel van poort 2002. Het programma kan nu geinstrueerd worden om verscheidene acties uit te voeren op het geïnfecteerde systeem, waaronder een DDoS.
De Apache Web server van Veel distro’s zijn vulnerable, onder andere RedHat, Slackware, Debian, Suse en Mandrake. Aangeraden wordt om up te graden naar OpenSSL 0.9.6g
3 uur geleden
