Ataque contra servidores Linux Apache ganha força, alerta pesquisador

tekmania
(usa Ubuntu)

Enviado em 24/01/2008 - 18:56h

Framingham - O ataque já atingiu na realidade mais de 10 mil endereços na web, segundo pesquisador da empresa de segurança SecureWorks.

Um ataque em massa iniciado no mês passado contra servidores Linux Apache ganhou força e êxito por utilizar um método de invasão que explora um processo automático de senha e instalação, de acordo com um pesquisador de segurança que monitora o progresso do ataque.
http://idgnow.uol.com.br/seguranca/2008/01/23/ataque-contra-servidores-linux-apache-ganha-forca-aler...

Sera que a segurança do Linux esta com os dias contados, o que vamos fazer para acabar com essa ameça??

limasala
(usa OpenSuSE)

Enviado em 24/01/2008 - 19:56h

beleza

pode ser mais um golpe de imprensa da m$

para vender o windows server 2008

sei la ja aconteceu antes

estive no zoo estes dias e
um pinguim que me falou

beleza

fabioarnoni
(usa Ubuntu)

Enviado em 24/01/2008 - 20:24h

COm certeza !!!! O pessoal da Microsoft ta apelando total, fui numa palestra deles que eles falam mal do linux o tempo inteiro (mandriva) e também tem uma parte no site da microsoft comparando o mandriva com o windows server ..... cruel demais, pr amim é injuriante.

tekmania
(usa Ubuntu)

Enviado em 25/01/2008 - 07:20h

......UP......

fulllinux
(usa Slackware)

Enviado em 25/01/2008 - 08:30h

Injuriante...

Meu esses karas só me fazem rir... aew fabião!!! nos esbarramos de novo heim!!!

fabioarnoni
(usa Ubuntu)

Enviado em 25/01/2008 - 11:01h

aewwww e ai cara blz ? vem ai em casa qq dia, comprei un note e to brincando com ele aqui, to esperando eu entrar de férias pra instalar o Debian nele.
Falo

FireBird
(usa Debian)

Enviado em 25/01/2008 - 11:13h

é por essas e outras que consultor e analista em linux ganha bem...

particularmente, ja tive meu apache atacado umas milhoes de vezes e einclusive ja ate conseguiram pegar a brecha que fui obrigado a deixar para certas pessoas fazerem acesso... a diferença é que ele roda "enjaulado" com chroot na minha maquina...

entao, o cara ataca, entra, e fica frustrado pq nao consegue fazer nada... ta aí a resposta sobre a segurança do Linux... se vc souber fazer, nao tem erro..é PERFEITO!

quanto a outra empresa citada ai fabricante desse outro protótipo de Sistema Operacional, MTO FRACA!!! Nunca terá e nunca teve nenhum serviço capaz de competir com o Linux.

m4tri_x
(usa Ubuntu)

Enviado em 25/01/2008 - 11:13h

Não to entendendo, senhas roubadas de servidores APACHE? desculpe minha ignorancia, mais podem me explicar?

FireBird
(usa Debian)

Enviado em 25/01/2008 - 11:23h

JURO que tb nao entendi...:

"Segundo o especialista, o ataque utiliza senhas roubadas de servidores Apache para, por meio de um processo automático de instalação, forçar as máquinas a atacarem as vulnerabilidades de clientes Windows."

o ataque usa senha roubada de sevidores apache pra atacar o windows? como assim?

alguem ajuda ae por favor...

e, lendo o artigo cara... a fragilidade nao e no linux nao...rs...pq os ataques se dao ao windows uai...

jeferson_roseira
(usa Debian)

Enviado em 25/01/2008 - 11:49h

Trechos retirado da materia

Don Jackson, pesquisador sênior de segurança da SecureWorks, diz que o ataque, que inicialmente teria comprometido algumas centenas de sites, atingiu pelos menos 10 mil endereços na web. Segundo o especialista, o ataque utiliza senhas roubadas de servidores Apache para, por meio de um processo automático de instalação, forçar as máquinas a atacarem as vulnerabilidades de clientes Windows

Ele diz que já existe um código de prova de conceito para um ataque semelhante baseado na instalação automática de senhas roubadas e de malware no Internet Information Server, da Microsoft. Mas ele não o viu ser tão explorada da forma como o ataque ao Linux Apache vem se disseminando.

O que eu entendi ( se estiver correto) é que os servidores apache esta atancado clientes windows.. sendo uma falha de sistema Linux.. muito estranho..

Verificando os processos do windows Vista e Windows Xp.. realmente existe um processo apache.exe rodando na maquina finalizo o processo e mesmo assim ele restarta automaticamente..

andei pesquisando esse apache.exe é um trojan

segue o logo retirando com HijackThis v1.99.1

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\ProcessGuard\pgaccount.exe
C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe
C:\Arquivos de programas\ProcessGuard\procguard.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\Apache Group\Apache\Apache.exe
C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\Arquivos de programas\ProcessGuard\dcsuserprot.exe
C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Apache Group\Apache\Apache.exe
C:\Arquivos de programas\OpenOffice.org 2.0\program\soffice.exe
C:\Arquivos de programas\OpenOffice.org 2.0\program\soffice.BIN
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Arquivos de programas\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe
C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\DALLAS\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Arquivos de programas\Outlook Express\msimn.exe"
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Arquivos de programas\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Arquivos de programas\ProcessGuard\procguard.exe" -minimize
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Documents and Settings\DALLAS\Desktop\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Arquivos de programas\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\Arquivos de programas\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Arquivos de programas\ProcessGuard\dcsuserprot.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



*** reparem na seguinte linha

O23 - Service: Apache - Unknown owner - C:\Arquivos de programas\Apache Group\Apache\Apache.exe" --ntservice (file missing)

o trojan sendo executado

como remover com HijackThis v1.99.1 e Spybot

acho que consegui entender o que queriam dizer na materia..

Não sei se foi coincidencia mas ate agora peguei esse trojan so em maquinas da HP..

Ate mais

FireBird
(usa Debian)

Enviado em 25/01/2008 - 11:55h

CITANDO O QUE O AMIGO FALOU ACIMA:

"O que eu entendi ( se estiver correto) é que os servidores apache esta atancado clientes windows.. sendo uma falha de sistema Linux.. muito estranho.."

EU TB ENTENDI FOI ISSO... Ai achei legal a analogia... Um cracker que invade um servidor e ataca os dados e os rouba por exemplo... A falha é do cracker...kkkkkkk

esses cara deram uma "mongada" ai agora cara...serio mesmo...

se vc atacar algum servidor, a falha de segurança é sua....rs...

tosco... mas mto legal o que o amigo postou ai... mto bacana esse negocio do apache.exe...

quer saber? quero q essas maquina windows tudo pega fogo e assim um dia todo mundo usa linux que resolve até o problema do aquecimento global...

fabioarnoni
(usa Ubuntu)

Enviado em 25/01/2008 - 18:31h

Na verdade essa analogia e totalmente bugada hUhauhau algum abençoado criou um trojam como nome de apache.exe que ataca servidores microsoft e foi ai que a historia se deu