منبع اصلی نوشتار زیر در این لینک قرار دارد

مراقب کرم جدید Linux.Darlloz باشید!

شرکت امنیتی سیمانتک که از فعال‌ترین کمپانی‌های امنیتی دنیاست خبر از کشف کرمی به نام Linux.Darlloz داده بود که از یک رخنه امنیتی در php-cgi (کامپوننتی که به PHP اجازه اجرا بر روی پیکربندی CGI را می‌دهد) بهره برده سعی در خرابکاری در سیستم می‌کند. این بدافزار در حقیقت سال گذشته کشف شده بود و پچ امنیتی آن نیز در PHP 5.4.3 و PHP 5.3.13 ارائه شده است؛ پس اگر از یک توزیع به‌روز گنو/لینوکس استفاده می‌کنید تقریبا جایی برای نگرانی وجود ندارد. اما چند روز پیش سیمانتک خبر از احتمال آلوده شدن دستگاه‌های غیر از x86 داد. این ضعف در حقیقت مربوط به PHP بوده و ارتباطی به هسته یا ابزارهای گنو/لینوکس ندارد. اما در مورد دستگاه‌های تعبیه شده نظیر روترها، ست‌تاپ‌باکس‌ها و… این به‌روز رسانی ساده نخواهد بود.

و اما این بدافزار چگونه عمل می‌کند؟

این کرم سعی می‌کند با استفاده از یوزنیم و پسوردهای ضعیف شناخته شده (بله! برخلاف ویندوز، بدافزار بدون اجازه دسترسی در لینوکس بی‌خطر است) نظیر root/root، admin/admin و… دسترسی لازم برای ایجاد یک IP تصادفی و ساختن یک دایرکتوری خاص و در نهایت گسترش آسیب‌پذیری از طریق ارسال درخواست POST از طریق HTTP را بدست آورد. پس همیشه یک رمز عبور قوی و مناسب داشته باشید. بدافزار تلاش می‌کند منابع سیستم را در اختیار گرفته و مانع عملکرد صحیح آن شود. 

بطور مشخص‌تر، Linux.Darlloz خود را در قالب فایل tmp/x86/  ایجاد کرده و دایرکتوری /var/run/.zollard/ را می‌سازد.

تا به حال تنها حمله به دستگاه‌های x86 گزارش شده است ولی سیمانتک ادعا می‌کند که این کرم احتمالا می‌تواند به دستگاه‌های ARM, PPC, MIPS و MIPSEL نیز حمله کند که معمولا در روترها و دیگر دستگاه‌های تعبیه شده مورد استفاده قرار می‌گیرند.

برای اطمینان از امنیت دستگاه خود مطمئن شوید که سیستم شما آپدیت باشد و آخرین نسخه Firmware موجود برای دستگاه‌های تعبیه شده خود را دانلود و نصب کنید. رمز مناسب و قوی برای کاربر ادمین خود انتخاب کنید و درخواست http post را به دایرکتوری‌های زیر مسدود کنید.

  • cgi-bin/php/-
  • cgi-bin/php5/-
  • cgi-bin/php-cgi/-
  • cgi-bin/php.cgi and/-
  • cgi-bin/php4/-

 

6 دیدگاه برای این نوشته:

  1. مجتبی:
    ۱۲ آذر ۱۳۹۲ ممنون بابت اطلاع‌رسانی خوشبختانه توزیع آرچ دارم و همه‌ی بسته‌ها بروز هست.
  2. علی:
    ۱۲ آذر ۱۳۹۲ این کار ها ر چه جوری انجام بدیم؟
  3. مسعود آموزگار:
    ۱۲ آذر ۱۳۹۲ توزیع‌تون چی هست؟ از php استفاده میکنید؟ آپدیت هست سیستم؟
  4. hamidtb:
    ۱۲ آذر ۱۳۹۲ خوشبختانه چون توی گنو/لینوکس آپدیت ها سریع ارایه میشن و حفره ها سریع پوشش داده میشن این جور کرم ها کاری از پیش نمیبرن .....
  5. علی:
    ۱۴ آذر ۱۳۹۲ ubuntu12.04 آپدیت هم انجام می دم. تا حالا به php بر نخوردم
  6. مسعود آموزگار:
    ۱۴ آذر ۱۳۹۲ جایی برای نگرانی نیست. اگر میخواید مطمئن بشید ترمینال رو باز کنید و دستور php -v رو بزنید. نسخه پی اچ پی در صورت نصب بودن نمایش داده میشه. توی مطلب گفته شده کدوم نسخه‌ها مشکلشون حل شده. به احتمال زیاد خروجی دستور not found هست که یعنی اصلا پی اچ پی ندارید.

ارسال نظر سریع



برچسب ها :

به سیاره لینوکس امتیاز دهید

به اين صفحه امتياز دهيد