(Продолжение темы)
---------------------
http://www.opennet.me/openforum/vsluhforumID10/256.html#5>IMHO это от IIS дырка.
>Для апача не страшно.
-----------------------
Очень даже страшно.Вот пример, находим в /tmp 2 файлика
gzed.1038240882 и исполняемый mcextSLbykd
у первого права 644 у втрого 700, хозяин обоих root, время создания-вчера, одинаковое.
Если открываем первый в консоли-информации немного, но есть.
Выде ли бы Вы, какое было у меня удивление, когда я попытался открыть
его их конквера!
Появилась папка sslwrap и внутри еще 5 файликов на С, с мейкфайлом
-apps.h
-e_os.h
-s_apps.h
-s_cb.c
-s_server.c
-s_socket.cНу а второй вот что внутри имеет
---------------------
#!/bin/sh
I=`date +%s`; export I; gzip -cd mclocalcopyYvzFod >/tmp/gzed.$I && vi /tmp/gzed.$I && gzip -c /tmp/gzed.$I > mclocalcopyYvzFod; rm -f /tmp/gzed.$I
/bin/rm -f /tmp/mcextSLbykd
----------------Господа от Unix, что вы скажете? Вьезд на белом коне через http? Или червь или что? Если ошибаюсь-плиз поправьте. Если да то, как бороться?
Какие функции может выполнять эта байда на моей машине?
Причем там же в html (под gzed...) файле находим упоминание о sslwrap.
Спасибо
PS Вчера убирал-сегодня ванька встанька уже опять тут.
Добавлю, платформа LINUX и последний Апач.
>Добавлю, платформа LINUX и последний Апач.openssl какой ? Если openssl и mod_ssl не пофикшеной версии, то червь пролез через них. Если используешь не последний bind 8.x или 4.x, то вероятно для них уже червь написали.
openssl-0.9.6b-28aspтак все таки это червь?
А его функции?
Обновление пакета openssl поможет?
>openssl-0.9.6b-28asp
>
>так все таки это червь?Да это червь, проявляется для OpenSSL меньше чем 0.9.6e. Срочно апгрейдь до последней версии OpenSSL.
>Обновление пакета openssl поможет?
Да.