Вирусная опасность: Linux.Slapper.56167

24 сентября 2002
[24.09.2002]
За последние дни в сообщениях средств массовой информации, касающихся вопросов компьютерной безопасности, все больше появляется тревожных сообщений о UNIX-черве Linux.Slapper.56167, поражающем компьютеры, на которых установлены уязвимые библиотеки OpenSSL, используемые в модуле mod_ssl сервера Apache. В настоящее время интерес СМИ к этому червю достиг такого уровня, что некоторые компании, специализирующиеся в области систем защиты и компьютерной безопасности, повысили его оценочную степень опасности.

Подобное беспокойство, пусть и не имеющее под собой серьезных оснований, обусловлено, на наш взгляд, тем фактом, что в данном случае объектом вирусной угрозы стала операционная система, которые многие считают относительно безопасной - во всяком, случае, гораздо меньше подверженной заражению вирусами и интернет-червями, чем ОС Windows компании Microsoft. Кроме того, во всем мире именно на UNIX-системах работают HTTP и почтовые серверы, поэтому возможность компрометации этих систем грозит подорвать доверие именно к этой святая святых интернета.

Slapper. Пятница, 13. Приметы сбываются?
Поздно вечером в пятницу 13, в сети Интернет появился новый червь Slapper, стремительно атаковавший компьютеры под управлением ОС Linux с установленными на них веб-серверами Apache. Для попадания в систему червь использует уязвимость модуля MOD_SSL веб-сервера Apache. Подробнее о данной уязвимости, обнаруженной в июле 2002 г. вы можете прочитать здесь.

Linux.Slapper.56167 - уже второй червь, использующий для своего распространения веб-серверы Apache. Напомним, первым в этом списке стал почтовый червь FreeBSD.Scalper (другие названия ELF/Scalper-A, Linux.Scapler.Worm, Unix/Scalper. PHP/Exploit-Apache), появившийся в сети в июне нынешнего года.

Подобно FreeBSD.Scalper, новый агрессор также устанавливает в систему троянский компонент - люк для хакера, через который впоследствии может быть установлен удаленный контроль над системой, и, в том числе, организована DDoS атака (Destributed Denial of Service) - распределенный отказ в обслуживании, вид компьютерной атаки на сайт.

На сегодняшний день, по оценкам специалистов, приблизительно 60% компьютеров используют именно связку Linux+Apache. Многие используют OpenSSL, позволяющий передавать данные в зашифрованном виде - особенно часто этот компонент встречается, например, на коммерческих веб-сайтах с электронными магазинами. Соответственно, количество потенциально уязвимых сайтов достигает внушительной цифры. Популярна и сама связка Linux+Apache, поэтому шествие червя по сети быстро стало приобретать характер эпидемии. Если за выходные (14-15 сентября) количество пораженных машин не превышало 6 000 тысяч, то к вечеру понедельника, 16 сентября, оно перевалило за 12 000. Однако это очень далеко от той эпидемии, которая охватила в прошлом году сервера, работающие под Windows - червь CodeRed поразил, по некоторым оценкам, 400 000 серверов, Nimda - 850 000.

Казавшийся вначале весьма примитивным червем, Linux.Slapper.56167 все больше обращает на себя внимание в силу создаваемой им из зараженных серверов "пиринговой" сети (pear-to-pear network), которая оказывается фактически вся подчиненная злоумышленнику. Некоторые в этой связи начинают поговаривать о прототипе "кибероружия", коим якобы является Slapper. Будем надеяться, что в этих словах больше журналистского вымысла, нежели правды.

8
;