Нашествие Apache worm (Scalper.Worm)

08.07.2002 16:35

Первенцем среди червей использующих "сhunk-encoding" переполнение буфера в Apache (FreeBSD.Scalper.Worm) уже поставлены в затруднительное положение многие российские провайдеры. Червь расползается с поразительной быстротой, несмотря на то, что воздействию его подвержены только FreeBSD 4.x с версией apache младше 1.3.26 (прогнозируют скорый выход аналога для Linux). В то время, как apache на серверах большинства ISP был обновлен еще в впервые дни обнаружения ошибки, проблему представляют клиенты и забытые под "столом" сервера, не первый год работающие в автономном режиме.

Буквально через несколько минут после активации червя, канал пользователя оказывается загруженным практически на 100%.

В /tmp червь создает файл .uua, затем из него формируется, через uudecode, файл /tmp/.a, после активации которого (можно обнаружить по ps -auxwww|grep '.a', запущен под uid как и apache) производится хаотичное сканирование сетей для дальнейшего распространения (зафиксировано до 100000 запросов в 5 мин, что приводит к DoS атаке). Червь предполагает возможность удаленного управления (используется udp port 2001), можно удаленно получить доступ к системным файлам, запускать и закачивать файлы, производить рассылку на email и флуд определенных адресов.