PDA

View Full Version : سوء استفاده امنیتی همزمان از لینوکس و ویندوز


Inprise
یک شنبه 07 بهمن 1386, 21:50 عصر
یکی از کارشناسان شرکت SecureWorks (http://www.secureworks.com/)که روی Managed Security Monitoring متمرکز هست و از شبکه ها و سرورهای زیادی نگهداری میکنه اعلام کرد نقیصه موجود روی Apache که ارزیابی میشد حداکثر چند صد سرور رو آلوده کرده باشه تا حالا حداقل 10 هزار سرور لینوکس رو بصورت خودکار آلوده کرده . این کد مخرب بعد از کسب دسترسی به سرور یک ماژول داینامیک به Apache اضافه میکنه که با پویش دائمی حافظه بعد از رسیدن درخواست کلاینت به سرور ، اسکریپتهای آلوده ای رو به جواب تزریق میکنه . این اسکریپتها کمک میکنن از نقائص امنیتی مختلف برنامه های ویندوز مثل IE - AOL - Yahoo Messenger - Real Player و ... برای هک کردن کلاینت استفاده بشه ! جزئیات چندانی از ماهیت این نقیصه امنیتی منتشر نشده . این کد مخرب سرورهای قربانی رو خودکار پیدا و آلوده میکنه !

http://www.networkworld.com/news/2008/012208-linux-servers-attack.html
oxygenws
یک شنبه 07 بهمن 1386, 21:57 عصر
تایید شده که مشکل قطعا از آپاچی است؟ و اگه آره، نسخهء اون مشخص نشده؟
Inprise
یک شنبه 07 بهمن 1386, 22:04 عصر
Apache تا حالا تائید نکرده .
oxygenws
یک شنبه 07 بهمن 1386, 22:08 عصر
Apache تا حالا تائید نکرده .
تا جایی که من می دونم، فقط یک حدسه که مشکل از آپاچی باشه. اونم فکر کنم به خاطر رفتار کرم باشه. و حدس دیگه ای که زده شده CPanel بوده (http://www.cpanel.net/security/notes/random_js_toolkit.html).

////////

این تایید شده که این کرم به روت دسترسی داره حتما یا نه؟

اگر اینچنین باشه، کرمی که میاد وارد آپاچی میشه، در اکثر سرور ها که CPanel دارند با کاربر آپاچی یا nobody اجرا میشه و اصولا دسترسی ای به چیزی نداره، مگر اینکه بیاد باز یک چیز دیگه ای رو کرک کنه و بیاد به روت دسترسی داشته باشه که این یک کمی احتمال حمله شدن رو کم می کنه و یک کم بعید به نظر می رسه در این صورت که سرعت رشدش به این زیادی باشه!
Inprise
یک شنبه 07 بهمن 1386, 22:26 عصر
دسترسی به روت یا چیز دیگری نیاز نداره . حداقل با توضیحی که داده شده همون nobody کافیه . اما باید منتظر اولین CVE آپاچی باشیم . Cpanel حدس نزده ممکنه مشکل از اون باشه ، فقط نحوه عملکردش رو توضیح داده و گفته ممکنه نفوذگر در واقع دسترسی به اکانت و پسورد تعداد زیادی سرور پیدا کرده ( یعنی اصلا نقطه ضعفی در کار نیست ) که این خیلی غیر طبیعی به نظر میاد خصوصا با توجه به تعداد زیادی سرورهای آلوده شده . ولی محال که نیست . طبیعتا واقعیتش بزودی معلوم میشه
oxygenws
یک شنبه 07 بهمن 1386, 22:33 عصر
البته این نکته *می تونه* قابل تامل باشه که *حداقل* یکی از روش های انتشار این کرم، مبتلا کردن کاربران ویندوزی است. یعنی شاید این احتمال باشه که رمز های عبور کاربران ویندوزی ای که سرور لینوکس دارند رو می دزده! (اوپس، احتمالش خیلی کم شد!)