Первенцем среди червей использующих "сhunk-encoding" переполнение буфера в Apache (FreeBSD.Scalper.Worm) уже поставлены в затруднительное положение многие российские провайдеры. Червь расползается с поразительной быстротой, несмотря на то что воздействию его подвержены только FreeBSD 4.x с apache < 1.3.26 (прогнозируют скорый выход аналога для Linux). В то время, как apache на серверах большинства ISP [[END]] был обновлен еще в впервые дни обнаружения ошибки, проблему представляют клиенты и забытые под "столом" сервера, не первый год работающие в автономном режиме. <p>Буквально через несколько минут после активации червя, канал пользователя оказывается загруженным практически на 100%.
<p>В /tmp червь создает файл .uua, затем из него формируется, через uudecode, файл /tmp/.a, после активации которого (можно обнаружить по ps -auxwww|grep '.a', запущен под uid как и apache) производится хаотичное сканирование сетей для дальнейшего распространения (зафиксировано до 100000 запросов в 5 мин, что приводит к DoS атаке). Червь предполагает возможность удаленного управления (используется udp port 2001), можно удаленно получить доступ к системным файлам, запускать и закачивать файлы, производить рассылку на email и флуд определенных адресов.URL: http://news.com.com/2100-1001-940585.html
Новость: http://www.opennet.me/opennews/art.shtml?num=1322
непонятно - эта штука работает на Russian Apache?
>непонятно - эта штука работает на Russian Apache?В зависимости от настроек русского апача.
A если /tmp монтировать с флагом 'noexec' ?
Судя по описанию он распаковывается и запускается из /tmp.
А вычищают его, не дай никто, чем?
>А вычищают его, не дай никто, чем?Почистить машину от червя можно через "rm -f /tmp/.a"
Hi, All !
subj ?
А то информация приведена, скзано даже, что почти
все уже пропатчились, а где он, патч-спаситель...