Virus sous Linux !!!

C’est rare, mais ça arrive… Une nouvelle variante du ver Plupii vient d’être découverte par Symantec… Il exploite les failles contenues dans « la bibliothèque PHP XML-RPC », « AWStats », « WebHints » …

Mefiez vous, utilisateur de Linux et donc Ubuntu… Le ver Plupii fait des petits… En effet, Symantec vient de transmettre l’information comme quoi Linux.Plupii.C est en vadrouille sur le réseau des réseaux… Selon Symantec :

Lorsque Linux.Plupii.C s'exécute, il réalise les opérations suivantes :    1. Ouvre une porte dérobée sur le port UDP 27015, ce qui permet à un attaquant distant d'obtenir un accès non autorisé à l'ordinateur infecté.    2. Crée des adresses IP et les utilise pour générer des URL qui contiennent les chaînes suivantes :           * /cvs/           * /articles/mambo/           * /cvs/mambo/           * /blog/xmlrpc.php           * /blog/xmlsrv/xmlrpc.php           * /blogs/xmlsrv/xmlrpc.php           * /drupal/xmlrpc.php           * /phpgroupware/xmlrpc.php           * /wordpress/xmlrpc.php           * /xmlrpc/xmlrpc.php    3. Envoie des requêtes HTTP aux URL générées et tente de se propager en exploitant les vulnérabilités suivantes liées au serveur Web :           * Vulnérabilité d'ajout de code PHP à distance pour XML RPC (comme décrit dans l'article Bugtraq ID 14088)           * Vulnérabilité de validation de saisie du paramètre AWStats Rawlog (comme décrit dans l'article Bugtraq ID 10950)           * Vulnérabilité d'exécution de commande à distance Darryl Burgdorf Webhints (comme décrit dans l'article Bugtraq ID 13930)    4. Lorsque le ver détecte un script vulnérable sur l'ordinateur infecté, il télécharge et exécute un script d'installation malveillant à partir du site Web suivant :       [http://]198.170.105.69/[SUPPRIME]    5. Tente de télécharger les fichiers suivants dans le dossier /tmp/.temp folder :           * cb (détecté comme Linux.Plupii.B)           * https (script Perl avec une fonctionnalité de porte dérobée)           * ping.txt (script Perl qui est une porte dérobée shell inversé)           * httpd    6. Tente de se connecter à une adresse IP prédéfinie sur le port TCP 8080 et ouvre une porte dérobée shell.    7. Ouvre une porte dérobée IRC qui tente de se connecter à l'un des serveurs IRC suivants :           * eu.undernet.org           * us.undernet.org           * 195.204.1.130           * 194.109.20.90             Le ver se joint à un canal contenant la chaîne suivante et attend les commandes d'un attaquant distant :             lametrapchan

Un utilisateur averti en vaut deux !


Publié

dans

par

Étiquettes :

Commentaires

2 réponses à “Virus sous Linux !!!”

  1. Avatar de PiTiLeZarD

    avec un user apache contraint en safe mode et des droits lecture ecriture dans le dossier /var/www et rien ailleur il fait quoi le virus la ? Enfin ma question c’est: est ce que c’est un virus qui prend possession d’une station linux indépendament de tous efforts fait pour la sécurité ou c’est un virus qu’on laisse entrer par mégarde ?

  2. Avatar de Dramces
    Dramces

    Réponse faite par mail !
    Plus d’infos ici : http://www.dsi13.fr/article_1030... et là : http://www.trendmicro.com/vinfo/...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *