Worm Slapper Serang Server Linux Reporter : Sigit Widodo detikcom - Jakarta,Setelah serangan worm Code Red pada server IIS dan Scalper pada server FreeBSD, sekarang muncul worm Slapper yang menginfeksi server Linux. Demikian pemberitahuan perusahaan anti-virus Vaksin.com yang diterima detikcom, Selasa (17/9/2002).
Slapper memanfaatkan OpenSSL mod_ssl exploit yang baru saja ditemukan pada Agustus 2002 lalu. Dalam waktu singkat, Slapper telah menyebar ke seratus negara. Worm ini pertama kali terdeteksi muncul di wilayah Eropa Timur, tepatnya di Romania. Menurut Vaksin.com, hingga 15 September 2002 pukul 24.00 wib, Slapper telah menginfeksi 5.987 komputer. 20 jam sesudahnya, pada 16 September 2002 pukul 20.00 wib, jumlah komputer yang terinfeksi melonjak menjadi 11.249. Slapper menginfeksi komputer Linux dengan web server Apache yang mengaktifkan OpenSSL. Apache saat ini merupakan web server yang paling banyak digunakan di dunia dan menguasai lebih dari 60 persen situs internet. Diperkirakan, 10 persen dari seluruh web server Apache mengaktifkan SSL. Program SSL digunakan untuk transaksi online, transaksi perbankan dan aplikasi pengamanan data. Slapper yang meninfeksi sebuah sistem akan berusaha untuk menyebar ke sistem lain. Selain itu, Slapper mampu serangan peer-to-peer dan membuat komputer yang terinfeksi menjadi komputer "zombie" yang dapat digunakan untuk melakukan serangan DDoS. Sistem yang diserang oleh Slapper adalah komputer dengan prosesor Intel yang mengaktifkan OpenSSL versi 0.96d atau sebelumnya dan menjalankan distro Linux sebagai berikut : a.. Red Hat yang menjalankan Apache 1.3.6, 1.3.9, 1.3.12, 1.3.19, 1.3.20, 1.3.22, 1.3.23 dan 1.3.26. b.. SuSE yang menjalankan Apache 1.3.12, 1.3.17, 1.3.19, 1.3.20, 1.3.23. c.. Mandrake yang menjalankan Apache 1.3.14, 1.3.19, 1.3.20, 1.3.23. d.. Slackware yang menjalankan Apache 1.3.26. e.. Debian yang menjalankan Apache 1.3.26. f.. Gentoo yang menjalankan semua versi Apache. Masih menurut Vaksin.com, pembuat Slapper tampaknya belajar dari cara worm CodeRed menyebarkan dirinya. Pada 2001 lalu, worm ini berhasil menginfeksi 350.000 situs internet yang menjalankan Microsoft IIS. Slapper juga meniru worm Morris yang tidak meng-upload paket eksekusi yang telah di-compile, tetapi meng-upload source code worm. Setelah terupload secara penuh, Slapper akan menggunakan C compiler (gcc) yang secara default diinstall ke Linux untuk memproduksi paket eksekusi worm dan menjalankannya. Cara ini membuat Slapper kompatibel dengan banyak versi Linux, terlepas dari distro dan versi kernelnya. Cara ini juga mengakibatkan Slapper sulit di deteksi oleh anti-virus karena versi kompiler yang berbeda akan menghasilkan paket eksekusi yang bervariasi. Karena Slapper memanfaatkan gcc compiler pada komputer korban, salah satu cara yang cukup efektif untuk melindungi web server Apache dari worm ini adalah dengan menghilangkan atau membatasi akses ke kompiler dari web server. Namun ini hanya dapat dilakukan khusus untuk Linux/Slapper-A. Slapper akan terlihat sebagai proses "bugtraq". Sebuah komputer yang terinfeksi dapat dibersihkan dengan cara mematikan aktivitas worm dan memindahkan file yang dibuatnya ke dalam direktori tmp : /tmp/.uubugtraq /tmp/.bugtraq.c /tmp/.bugtraq Setelah itu, matikan webserver Apache dan upgrade OpenSSL ke versi 0.96e atau yang lebih baru untuk menghindari infeksi ulang. (sgt)
