Linux Lupper sprider sig
Linux masken Lupper har börjat spridas med större utsträckning. Masken utnyttjar bland annat awstats.pl och xmlrpc.php
Masken Lupper finns även i en ELF komplierad version för I386 och sprider sig via AWStats Rawlog Plugin och XML-PHP. På en angipen dator öppnas någon av portarna 7111,7222,7555 för UDP trafik, och möjliggör fjärrstyrning av datorn.
Masken angiper genom bland annat ansluta till:
/cgi-bin/awstats.pl
/awstats/awstats.pl
/cgi-bin/awstats/awstats.pl
/cgi/awstats/awstats.pl
/scripts/awstats.pl
/cgi-bin/stats/awstats.pl
/stats/awstats.pl
och utnyttja en känd säkerhetsbrist i XML-PHP genom att skriva över filen xmlrpc.php i:
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/drupal/xmlrpc.php
/community/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/wordpress/xmlrpc.php
/phpgroupware/xmlrpc.php
Ett enkelt sätt att skydda sig är att lägga till följande i .htaccess filen eller i server konfigurationen.
order deny,allow
deny from all
OnDeny http://www.fbi.gov
Inlägg
