企鵝遭遇蠕蟲 Lupper變種盯上Linux(轉)

企鵝遭遇蠕蟲 Lupper變種盯上Linux(轉)[@more@]　　作者：jeck　來源：賽迪網技術社群

　　一個新的蠕蟲病毒已經透過利用Web伺服器的錯誤開始瞄準Linux系統。一些反病毒機構已經發布，所謂的Lupper-A病毒會在被感染的機器上留下後門，這樣就可以方便入侵和在Web伺服器中竊取電子郵件地址。

　　目前看來Lupper並沒有迅速的擴散，但是，因為Linux系統比起Windows來說很少受到病毒的侵襲，所以這一事件引起了網路安全專家的關注。

　　按照加利福尼亞州Santa Clara的McAfee的說法，Lupper是透過Web 伺服器中易受攻擊的的PHP/CGI的指令碼進行散佈。“它是從Linux/Slapper 和 BSD/Scalper蠕蟲衍生出來的，並繼承了前兩個特徵。“McAfee在一次諮詢會上提到。“蠕蟲透過向80埠傳送錯誤的HTTP要求，從而襲擊Web伺服器，如果伺服器中正好有作為攻擊物件的指令碼，並且能夠允許遠端檔案在PHP/CGI環境下的下載，一個含有蠕蟲病毒的複製檔案就會被下載下來，並且被執行。

　　McAfee說，Lupper的襲擊會形成一個整個網路範圍內的點對點的交流協議，網路就會被用來實施分散式的服務拒絕distributed denial of service (DDoS)攻擊，或者是用來達到其他目的。因為現在的網路接受遠端指令。同時，新病毒還能夠盜取儲存在Web伺服器中的電子郵件地址。

　　Computer Associates的Islandia在一次諮詢會上指出，Lupper還能夠在7111埠出開出UDP的後門backdoor，從而允許遠端的非法控制器進入到機器當中。

　　Symantec的Cupertino把這個蠕蟲病毒起名為Linux.Plupii，並總結說，一旦病毒檔案被執行將會進行如下的操作:

　　透過UDP 埠 7222給遠端的襲擊者傳送確認資訊。

　　在UDP 埠 7222開出後門，允許遠端非法襲擊者進入計算機。

　　產生出還有一些列編碼的URLs。

　　向URLs傳送HTTP要求，並且試圖透過PHP遠端密碼的弱點來探取XML-RPC或者AWStats以及Darryl Burgdorf Webhints從而進新傳播。

　　試圖下在並且實行自身的檔案，透過名為[http://]62.101.193.244/[REMOVED]/lupii的網址並且把所下載的檔案儲存為名為/tmp/lupii的檔案。

　　Symantec還在其病毒公告中進行了其他資訊和易受蠕蟲攻擊弱點的描述。

　　在反病毒公司開始注意Lupper的行動之時，Danish vulnerability clearinghouse Secunia也宣佈了其他基於Linux的錯誤警告:不安全使用FTP伺服器'vsprintf()'函式用來回答FTP客戶要求，產生了Linux-ftpd-ssl錯誤，按照Secunia的說法，一旦輸出量超過2,048位元組，這就會導致一個stack-based的緩衝器溢位。這個錯誤可以透過產生出一系列長檔名的子目錄進行襲擊，之後產生'XPWD'命令。而結果就是'XPWD'造成了超過2,048 的位元組溢位。