Allora gente, la situazione e` molto seria. Giorni fa sono state violate due box (una CentOS e una Ubuntu hardy) con lo stesso metodo (vedere i log che ho postato sul mio blog).
Nella prima box erano disponibili un paio di applicazioni php (per cui da una prima analisi non ho immediatamente puntato il dito su apache2) e nella seconda era presente solo e soltanto la pagina di default del webserver, vale a dire <h1>It works!</h1> con nessun modulo o altro attivo (vista l`installazione freschissima). Purtroppo quindi, devo confermare quello che ho scritto nel post. Al momento abbiamo scritto un`applicazione php (che sta girando in tutti i server di Canonical Ltd.) che si occupa di loggare piu` a basso livello e trasferire informazioni su una seconda box remota in realtime, sperando di riuscire a catturare piu` informazioni a riguardo. Tutt`avia gli attacker non sembrano cosi` svegli, pur non riuscendo a prendere privilegi di amministrazione caricano un rootkit in /tmp. Da aggiungere che la versione di apache adottata in entrambe le box era la 2.2.8. staremo a vedere... E. Enrico Bassetti ha scritto: > Il giorno dom, 16/11/2008 alle 18.07 +0100, Paolo Giardini ha scritto: > >> Ho ricevuto una mail a proposito di un nuovo pericolosissimo nuovo bug >> di apache2 core capace di ... far giungere l'apocalisse del web! >> Prima di cominciare a strapparmi i pochi capelli rimasti e metter >> mano >> al cilicio, vi allego il link che mi hanno passato: >> >> http://blog.emanuele-gentili.com/index.php/2008/11/15/baco-di-sicurezza-privato-in-apache2-core-sara-lapocalisse-del-web/ >> >> Buone fustigazioni >> > > Da quanto ho visto in giro per google si *potrebbe* trattare di awstat, > o comunque di qualche problema con qualche script perl, non dipendente > direttamente da apache2 (se uno non ha script perl, non c'è motivo di > preoccuparsi). Tuttavia le informazioni in giro sono scarse, almeno dopo > una mia ricerca, ergo non posso dirti niente di più di quello che già > sai. > > Enrico > > > ------------------------------------------------------------------------ > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > -- Emanuele Gentili | http://launchpad.net/~emgent [EMAIL PROTECTED] | Ubuntu Security Developer [EMAIL PROTECTED] | Window Maker Developer [EMAIL PROTECTED] | Rapache Developer [EMAIL PROTECTED] | Joomla! Security Developer Key fingerprint: F4B7 0793 069A 217E BB9F 8925 E0AC 34C2 2201 1E9A gpg --keyserver keyserver.ubuntu.com --recv-keys 22011E9A
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
