수퍼유저 : www.superuser.co.kr

서버해킹/보안

서버해킹/보안 관련 질문과 답을 주고받습니다.


글쓴이: 관리자	Linux.Slapper 웜 퇴치및치유-certcc	조회수:2690

--------------------------------------------------------------------------------
NAME: Slapper
ALIAS: Linux.Slapper-A, Linux.Slapper-Worm, Apache/mod_ssl Worm, Slapper.source
---------------------------------------------------------------------------------

Slapper는 리눅스 머신에서 감염 전파되는 네트워크 웜입니다.
2002년 8월 발견된 OpenSSL 라이브러리에 대한 결함을 이용합니다.
이 웜은 2002년 9월 14일 금요일 저녁에 동유럽 지역에서 발견되었습니다.

OpenSSL + Apache 웹이 동작하고 있는 리눅스 머신을 감염시킵니다.
인터넷 웹 사이트 중 60% 이상이 Apache 웹 서버를 사용하고 있습니다.
SSL은 대부분 온라인 상품 판매, 은행 어플리케이션에서 많이 사용 중에 있습니다.

한 시스템이 이 웜에 감염되게 되면 새로운 시스템으로 확산됩니다.
더구나, 이 웜은 peer-to-peer에 기반한 네트워크 공격 코드를 가지고 있으므로
감염된 시스템은 분산 서비스 거부 공격(DDoS)에 이용될 수도 있습니다.

이 웜은 Red Hat, SuSe, Mandrake, Slackware, Debian 사의 리눅스 배포판을 운영 중인
인텔 기반 머신 상에서 동작합니다. Apache와 OpenSSL이 활성화 되어 있고 OpenSSL 버전이
0.96d 이전 버전이면 웜에 감염됩니다.

Slapper는 2002년 6월 발견되었던 Scalper Apache 웜과 매우 흡사합니다.
기본적인 동작 방식은 전세계적으로 많은 피해를 입힌 Code Red 웹 웜과 유사합니다.
Code Red는 2001년 7월 Microsoft IIS를 운영 중인 350000 이상의 웹 사이트를 감염시킨 바 있습니다.

------------------------------
UPDATE (2002-09-14 20:30 GMT)
------------------------------
지금까지 F-Secure는 다음 국가들로부터 감염된 컴퓨터들에 대한 직접 혹은 간접적 보고서를 입수하였습니다.

Norway
Lithuania
Romania
Portugal
Japan
The Netherlands
China
Turkey
India
USA
Taiwan
UK

-------------------
VARIANT: Slapper.A
-------------------

이 웜에 감염되게 되면 /tmp/.uubugtraq이라는 이름으로 uuencode된 웜의 자기 복제본이 생성됩니다.
웜은 해당 파일을 /tmp/.bugtraq.c이라는 이름으로 디코딩하여 gcc 컴파일한 후에
/tmp/.bugtraq이라는 이름의 실행 파일을 생성합니다. 이 파일이 나중에 실행되게 됩니다.

-- 제거 방법 --
'.bugtraq'이라는 프로세스가 활성화되어 있다면 웜에 감염된 것입니다.
이 프로세스를 종료시키고 임시 디렉토리에 생성된 다음 파일을 삭제함으로써
웜을 제거할 수 있습니다.

        /tmp/.uubugtraq
        /tmp/.buqtraq.c
        /tmp/.bugtraq

Apache 웹 서버는 셧 다운시킨 후, 재감염을 방지하기 위하여
OpenSSL 라이브러리를 0.9.6e 이후 버전으로 업그레이드하셔야 합니다.

------------------
부가적 관련 상세 정보
-------------------

OpenSSL 보안 권고문:
http://www.openssl.org/news/secadv_20020730.txt

CERT(r) 권고문:
http://www.cert.org/advisories/CA-2002-23.html

각종 리눅스 벤더의 보안 권고문:

Debian: http://www.debian.org/security/2002/dsa-136
Mandrake: http://www.mandrakelinux.com/en/security/2002/MDKSA-2002-046.php
RedHat: http://rhn.redhat.com/errata/RHSA-2002-155.html
SuSE: http://www.suse.com/de/security/2002_027_openssl.html

[Analysis: Sami Rautiainen and Mikko Hypponen, F-Secure Corporation; September 14th, 2002]

--------------------------------------
(주)시머스
보안사업팀                   오     경
서울시 강남구 역삼동 708-33 파라다이스
벤처타워 2F
Tel:82-2-569-8135   Fax:82-2-569-8137
H.P:016-268-1794
---------------------------------------

   ---------------------------------------------------------
     sec-info Mailing list 탈퇴를 원하시는분은 메시지 본문에
     다음과 같이 쓰신후 <Majordomo@certcc.or.kr>로 메일을
     보내 주시면 됩니다.

unsubscribe sec-info your-mail-address
---------------------------------------------------------

의견이 없습니다.