Foros del Web » Administración de Sistemas » Seguridad y redes »

APC: un gusano que ataca a Apache

Estas en el tema de APC: un gusano que ataca a Apache en el foro de Seguridad y redes en Foros del Web. Está circulando un gusano, extremadamente complejo, que ataca a los servidores web basados en Apache, en la plataforma FreeBSD, que todavía no han sido actualizados. ...
  #1 (permalink)  
Antiguo 11/07/2002, 15:52
Avatar de DanielRey
Usuario no validado
 
Fecha de Ingreso: enero-2001
Ubicación: Mendoza
Mensajes: 630
Antigüedad: 23 años, 10 meses
Puntos: 1
APC: un gusano que ataca a Apache

Está circulando un gusano, extremadamente complejo, que ataca a los servidores web basados en Apache, en la plataforma FreeBSD, que todavía no han sido actualizados.

Tal como informó Hispasec, en sendos boletines publicados el 17 y 20 de junio, a finales del mes pasado se dio a conocer la existencia de una vulnerabilidad en las versiones de Apache anteriores a la 1.3.26 y la 2.0.39. El problema radicaba en la forma en que Apache procesaba las cabeceras incorrectas en los "datos troceados" ("chunked data").

La vulnerabilidad podía permitir a un atacante remoto originar una condición de error en el servidor. En función de la versión de Apache y el sistema operativo utilizado en el servidor podía llegar a ser posible la ejecución de código en el servidor.

Desgraciadamente, y en una actuación que levantó mucha polémica, la vulnerabilidad fue divulgada por ISS a las pocas horas de ser descubierta, sin dejar margen a los responsables del proyecto
Apache a publicar las versiones actualizadas. Las nuevas versiones de Apache tardaron casi dos días en estar disponibles para su descarga.

El gusano APC

El pasado 28 de junio, un servidor que actuaba como 'honeypot' con Apache 1.3.24, permitió capturar un gusano que se conectaba a los servidores web e intentaba determinar si el mismo era
vulnerable. El gusano ha sido bautizado como "APC" a partir de una cadena de texto que aparece dentro del mismo.

Comportamiento

La primera acción que realiza el gusano es enviar un paquete (un simple 'hola') al puerto 2001/udp a una dirección IP fija. A continuación queda a la escucha en este mismo puerto, esperando la recepción de órdenes. Esto permite controlar remotamente el gusano para utilizarlo como un 'zombie' en un ataque de denegación de servicio distribuido contra objetivos concretos.

Continúa

<table><tr><td><IMG src=banderas/argentina.gif></td><td><small>Alta en el cielo, un águila guerrera<br>audaz se eleva, en vuelo triunfal.<br>Azul un ala, del color del cielo.<br>Azul un ala, del color del mar.</small></td></tr></table>
  #2 (permalink)  
Antiguo 11/07/2002, 15:54
Avatar de DanielRey
Usuario no validado
 
Fecha de Ingreso: enero-2001
Ubicación: Mendoza
Mensajes: 630
Antigüedad: 23 años, 10 meses
Puntos: 1
Re: APC: un gusano que ataca a Apache

Simultáneamente, el gusano empieza a rastrear direcciones IP, de forma aleatoria. En cada dirección intenta establecer una conexión TCP contra el puerto 80, enviando una simple petición
HTTP (&quot;GET / HTTP/1.1&quot;).

Si la máquina remota responde, el gusano analiza la respuesta. Si el servidor remoto se identifica como Apache envía una segunda petición HTTP que contiene el código del ataque (ver
http://www.idefense.com/idtools/Apache%20Worm.txt).

Este ataque es específico contra la plataforma FreeBSD 4.5.

Infección

El servidor web registra, en el archivo log, la siguiente entrada:

[Sun Jul 7 13:47:19 2002] [error] [client xx.xx.xx.xx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /

Por su parte, en /var/log/messages se registra el siguiente
mensaje:

Jul 7 13:47:25 foobar /kernel: pid 22639 (httpd), uid 80: exited on signal 11

En los sistemas vulnerables, el gusano se copia en el directorio
/tmp con los nombres &quot;.a&quot; y &quot;.uua&quot;.

Una vez copiados estos archivos, se ejecuta /tmp/.a, completando
el ciclo.

Detección

Se puede detectar la presencia del gusano comprobando la
existencia de los archivos &quot;.a&quot; y &quot;.uua&quot; en el directorio /tmp.
Otra forma de detectar la actividad del gusano es monitorizando
el tráfico que utilice el puerto 2001/udp.

Eliminación

Para eliminar el gusano de una máquina comprometida deben
borrarse los archivos &quot;.a&quot; y &quot;.uua&quot; del directorio /tmp y matar
el proceso del gusano:

% ps aux | grep &quot;.a&quot;

nobody 1103 0.0 0.4 932 444 v1 S 6:46PM 0:00.00 /tmp/.a xx.xx.xx.xx

% kill -9 1103

Prevención

Actualizar la versión de Apache a la 1.3.26.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1354

Más información

Hispasec (17-06-02): Vulnerabilidad en Apache
http://www.hispasec.com/unaaldia.asp?id=1331

Continúa
  #3 (permalink)  
Antiguo 11/07/2002, 15:55
Avatar de DanielRey
Usuario no validado
 
Fecha de Ingreso: enero-2001
Ubicación: Mendoza
Mensajes: 630
Antigüedad: 23 años, 10 meses
Puntos: 1
Re: APC: un gusano que ataca a Apache

Hispasec (20-06-02): Se publica la actualización de Apache
http://www.hispasec.com/unaaldia.asp?id=1334

Vulnerabilitat a Apache
http://www.quands.info/alertes/html/apache020617.html

Apache Security Advisory
http://httpd.apache.org/info/security_bulletin_20020617.txt

Aviso del CERT (CA-2002-17)
Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html

Apache Worm in the wild
http://online.securityfocus.com/archive/1/279529
http://dammit.lt/apache-worm/
http://dammit.lt/apache-worm/apache-worm.c

The Apache &quot;APC&quot; worm
http://www.securiteam.com/securitynews/5ZP05207PQ.html

Apache Worm Analisys
http://www.freebsd.org/cgi/getmsg.cgi?fetch=34552+54852+/usr/local/www/db/text/2002/freebsd-security/20020707.freebsd-security

Xavier Caballé
[email protected]

FIN

Suerte ;)
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 00:59.