HOME > 게시판 > 공지사항
게시판| 공지사항
 
작성일 : 02-09-18 13:19
[긴급공지]Slapper. Worm 치유,대처,사후대책
 글쓴이 : 관리자
조회 : 4,792  

안녕하세요.
수퍼유저코리아 관리자입니다.

Linux Slapper Worm으로 걱정되시죠....긴급으로 작성한 글 올려드립니다.

 

1. 제목 

 OpenSSL 버퍼 오버플로우 취약점을 이용한 apache Worm(Linux, Apache Slapper Worm)

2. 피해대상 시스템

플래폼 : Intel x86 + Linux + Apache + OpenSSL로 운용되는 모든 웹서버

3. 설명

- Slapper웜은 원격의 Linux서버의 명령을 사용하기 위해 OpenSSL Buffer OverFlow 취약점을 이용한다.

- Slapper웜에 감염되면 원격의 공격자가 임의의 실행코드를 실행할 수 있다.

- 원격의 공격자가 root권한을 획득할 수 있다. 따라서 root로 할 수 있는 모든 작업을 원격에서 가능해진다.

- DDOS공격에 이용될 수 있다.

- 이용되는 포트 : 80, 443

- 감염된 서버는 원격의 공격자에 의한 공격명령을 듣기위해 UDP 2002번 포트를 LISTEN상태로 두게된다.

 

4. 감염확인 방법

- /tmp 디렉토리내에 .bugtraq과 같거나 비슷한 이름을 가진 파일이 존재하면 100%감염된 것으로 봐야한다.
  ls -al /tmp

- 웹서버의 로그파일(대부분 access_log, 또는 error_log)을 조사하여 mod_ssl:error 와 비슷한 로그가 쌓였다면 감염된 것으로 봐야한다.

 

5. 감염시 치유 및 사후 조치 : OpenSSL 업데이트

http://ftp.superuser.co.kr/pub/security/openssl/

에서 openssl-0.9.6e.tar.gz 이상버전을 다운받으신 후에 다음과 같이 설치한다.

tar xvfpz openssl-0.9.6e.tar.gz
cd openssl-0.9.6e
./config
make
make test
make install

위의 예는 openssl-0.9.6e.tar.gz를 직접 설치테스트한 것입니다.

그리고, OpenSSL을 사용하는 모든 어플리케이션들을 다시 재컴파일한다.

 

6. 관련 글들및 참조글--

 --관련글들을 모두 모은 것입니다. 혹, 중복되는 글도 있으나 가능한 모두 꼭 읽어보시기 바랍니다. 정확한 상황판단만이 피해를 줄이는 길이 될 것입니다.

http://www.superuser.co.kr/superuserboard/view.html?id=680&code=news_tech&start=0&position=

http://www.certcc.or.kr/advisory/ka2002/ka2002-074.txt

http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.worm.html

http://www.superuser.co.kr/superuserboard/view.html?id=679&code=news_tech&start=0&position=

http://www.superuser.co.kr/superuserboard/view.html?id=678&code=news_tech&start=0&position=

http://www.superuser.co.kr/superuserboard/view.html?id=677&code=news_tech&start=0&position=

http://www.superuser.co.kr/superuserboard/view.html?id=616&code=free&start=0&position=

http://www.superuser.co.kr/superuserboard/view.html?id=307&code=security&start=0&position=

http://www.superuser.co.kr/superuserboard/view.html?id=308&code=security&start=0&position=

http://www.superuser.co.kr/superuserboard/view.html?id=297&code=apache&start=0&position=

http://www.inews24.com/php/news_view.php?g_serial=73343&g_menu=020600&pay_news=0

http://home.ahnlab.com/smart2u/virus_detail_1030.html

http://www.hauri.co.kr/virus/vir_info_sum.html?uid=344

 


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기