C’est rare, mais ça arrive… Une nouvelle variante du ver Plupii vient d’être découverte par Symantec… Il exploite les failles contenues dans « la bibliothèque PHP XML-RPC », « AWStats », « WebHints » …
Mefiez vous, utilisateur de Linux et donc Ubuntu… Le ver Plupii fait des petits… En effet, Symantec vient de transmettre l’information comme quoi Linux.Plupii.C est en vadrouille sur le réseau des réseaux… Selon Symantec :
Lorsque Linux.Plupii.C s'exécute, il réalise les opérations suivantes : 1. Ouvre une porte dérobée sur le port UDP 27015, ce qui permet à un attaquant distant d'obtenir un accès non autorisé à l'ordinateur infecté. 2. Crée des adresses IP et les utilise pour générer des URL qui contiennent les chaînes suivantes : * /cvs/ * /articles/mambo/ * /cvs/mambo/ * /blog/xmlrpc.php * /blog/xmlsrv/xmlrpc.php * /blogs/xmlsrv/xmlrpc.php * /drupal/xmlrpc.php * /phpgroupware/xmlrpc.php * /wordpress/xmlrpc.php * /xmlrpc/xmlrpc.php 3. Envoie des requêtes HTTP aux URL générées et tente de se propager en exploitant les vulnérabilités suivantes liées au serveur Web : * Vulnérabilité d'ajout de code PHP à distance pour XML RPC (comme décrit dans l'article Bugtraq ID 14088) * Vulnérabilité de validation de saisie du paramètre AWStats Rawlog (comme décrit dans l'article Bugtraq ID 10950) * Vulnérabilité d'exécution de commande à distance Darryl Burgdorf Webhints (comme décrit dans l'article Bugtraq ID 13930) 4. Lorsque le ver détecte un script vulnérable sur l'ordinateur infecté, il télécharge et exécute un script d'installation malveillant à partir du site Web suivant : [http://]198.170.105.69/[SUPPRIME] 5. Tente de télécharger les fichiers suivants dans le dossier /tmp/.temp folder : * cb (détecté comme Linux.Plupii.B) * https (script Perl avec une fonctionnalité de porte dérobée) * ping.txt (script Perl qui est une porte dérobée shell inversé) * httpd 6. Tente de se connecter à une adresse IP prédéfinie sur le port TCP 8080 et ouvre une porte dérobée shell. 7. Ouvre une porte dérobée IRC qui tente de se connecter à l'un des serveurs IRC suivants : * eu.undernet.org * us.undernet.org * 195.204.1.130 * 194.109.20.90 Le ver se joint à un canal contenant la chaîne suivante et attend les commandes d'un attaquant distant : lametrapchan
Un utilisateur averti en vaut deux !
Laisser un commentaire