서버해킹/보안 서버해킹/보안 관련 질문과 답을 주고받습니다.

글쓴이: 관리자 [리눅스웜] Linux.Slapper 웜 -cerrcc 조회수:2815


-- certcc의 보안권고문입니다. 리눅스에서 아파치사용하시는 분들은 필독하시기 바랍니다

 

[주의] Linux.Slapper 웜

[바이러스 긴급경보 CERTCC-KR-VA-2002-065]


☆ 개요

OpenSSL 버퍼 오버플로우 취약점을 이용한 apache웜이 2002년 9월 13일 외국에서 발견되었다. 9월 14일 현재까지 국내에서의 피해는 아직 발견되지 않고 있으나, 많은 수의 웹서버가 apache 웹서버를 사용하고 있으므로 관리자들의 신속한 대응이 필요할 것으로 보인다.

Linux.Slapper.Worm은 원격 시스템상의 쉘을 실행시키기 위해 OpenSSL 버퍼 오버플로우 취약점을 사용한다. Suse, Mandrake, RedHat, Slackware및 Debian을 포함하는 리눅스상에서 실행되는 취약한 아파치 웹서버를 타겟으로 하고 있으며, 또한 분산 서비스 거부공격을 위한 코드도 포함하고 있다.

☆ 전파원리 및 피해증상

□ 전파방법 및 피해증상

다음과 같은 감염대상과 유포양식을 지니고 전파된다.

  • 감염대상 : 각종 리눅스 시스템상의 취약한 아파치 웹 서버

  • 포트 : 80, 443

    포트 80번에 연결을 시도하고 아파치 시스템을 확인하는 서버에게 부적절한 GET request를 보낸다. 원격 시스템상의 SSL 서비스에 익스플로잇 코드를 보내기 위해 아파치 시스템을 발견하면 포트 443 번에 연결을 시도한다.

    이 웜은 인텔 플렛폼상에서만 실행되는 코드를 가지고 있으며, 이 코드는 실행되기 위해 /bin/sh을 필요로 한다. 이 코드의 이름은 ."bugtraq.c"으로 되어있어 ls로 확인시 "-a" 옵션을 통해서만 확인이 가능하며, gcc를 사용해 컴파일된후 /tmp 디렉토리내에 ".bugtraq"이란 이름으로 위치하게 된다.

    또한 웜은 IP 어드레스를 파라미터값으로 참조하여 실행되는데, 이 IP 어드레스는 공격할 머신의 IP주소이고 서비스 거부 공격을 목적으로 웜에 감염된 시스템 네트워크를 만들기 위해 사용된다. 각 시스템은 명령을 받기 위해 UDP 포트 2002번을 listen상태로 만든다.

    아파치 시스템을 랜덤하게 스캐닝함으로써 이 웜은 새로운 아파치 시스템을 스캔하기 위해 아래의 IP set을 사용한다.

    3, 4, 6, 8, 9, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 24, 25, 26, 28, 29, 30, 32, 33, 34, 35, 38, 40, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 61, 62, 63, 64, 65, 66, 67, 68, 80, 81, 128, 129, 130, 131, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 160, 161, 162, 163, 164, 165, 166, 167, 168, 169, 170, 171, 172, 173, 174, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 186, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 216, 217, 218, 219, 220, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239

☆ 대응방법
□ 예방법

1. 해당제품의 벤더로부터의 패치를 적용한다.

2. OpenSSL 버전 0.9.6e을 아래의 URL에서 다운로드한 후 업그레이드 한다.

URL : http://www.openssl.org/source/

1 또는 2에서 패치를 적용하거나 업그레이드한 후 OpenSSL를 사용하는 모든 어플리케이션을 재컴파일한 후 시스템을 실행시킨다.

☆ 참고 사이트

CERTCC-KR 권고문
- http://www.certcc.or.kr/advisory/ka2002/ka2002-074.txt
Symantec
Linux.Slapper.Worm
- http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.worm.html

※ 위 내용은 실제 샘플 실행 경우와 다소 차이가 있을 수 있음


의견이 없습니다.
관련글 : 없음 글쓴시간 : 2002-09-16 10:42 from 61.78.240.22

 

리눅스포털