Alle 18:41, gioved� 10 ottobre 2002, hai scritto: > buongiorno alla lista, > bighellonando in rete ho trovato questa pagina: > > http://www.norman.no/virus_info/linux_slapper_a.shtml > > la mia scarsa conoscenza dell'inglese e dei termini tecnici mi fa solo > immaginare di cosa stanno parlando. In particolare questo maleficio > colpirebbe solo i server linux o anche noi miseri navigatori? > > grazie per l'attenzione > ciao > giamgax
Ciao giamgiax, eccoti la traduzione della pagina... Daniele PS: non sono un traduttore, quindi abbiate piet� della qualit� della versione italiana... ;) ************** Linux/Slapper.A Caratteristiche generali Tipo: Worm Meccanismo di diffusione: Altro Pericolosit�: Media Payload: Attacco Denial of service (DoS) Prima pubblicazione delle caratteristiche del virus: 17 Set 2002 11:35 (CET) Ultimo aggiornamento delle caratteristiche del virus: 17 Set 2002 11:42 (CET) Ulteriore descrizione del programma dannoso Tipo Questo � un worm scritto in puro linguaggio C, e si propaga solo fra sistemi Linux. Meccanismo di diffudione Il worm si connette alla porta 80 su macchine Linux e tenta di stabilire se sia in esecuzione una versione vulnerabile del server Linux/Apache. Ricerca questi programmi: Gentoo, Debian, Apache 1.3.26, Red-Hat, Apache 1.3.6, Red-Hat, Apache 1.3.9, Red-Hat, Apache 1.3.12, Red-Hat, Apache 1.3.19, Red-Hat, Apache 1.3.20, Red-Hat, Apache 1.3.22, Red-Hat, Apache 1.3.23, Red-Hat, Apache 1.3.26, SuSE, Apache 1.3.12, SuSE, Apache 1.3.17, SuSE, Apache 1.3.19, SuSE, Apache 1.3.20, SuSE, Apache 1.3.23, Mandrake, Apache 1.3.14, Mandrake, Apache 1.3.19, Mandrake, Apache 1.3.20, Mandrake, Apache 1.3.23, Slackware, Apache 1.3.26 Se la macchina remota sta eseguendo una delle distribuzioni riportate qui sopra, il worm si connetter� alla porta 443 (HTTPS) e causer� un "buffer overflow" nel servizio SSL in esecuzione sul server. Un buffer overflow � un modo per eccedere deliberatamente il carico sul software ricevente mediante dati troppo grandi perch� esso li possa gestire. Questo permette di "confondere" il programma ricevente e pu� provocare un crash. In alcuni casi il controllo pu� essere passato ai dati usati nell'attacco, dando cos� all'attaccante l'accesso alla macchina remota. E' ci� che accade in questo caso. L'attacco da l'accesso alla shell al worm, che quindi inizia a distribuire il proprio codice sorgente in forma uuencoded, lo decodifica nella macchina remota e lo ricompila con il compilatore GCC presente nella maggior parte delle macchine Linux. Il codice sorgente � chiamato .bugtraq.c, e l'eseguibile che ne deriva � chiamato .bugtraq. Quest'ultimo viene eseguito, e la macchina remota � infetta. Pericolosit� e Payload Il worm include funzionalit� di backdoor, ed i sistemi infetti si connettono tra loro via UDP sulla porta 2002. Ci� permette ad un attaccante di connettersi alla rete infetta e farle iniziare un Attacco DoS Distribuito (DDoS) su qualsiasi macchina da lui indicata. Gli attacchi possono prendere diverse forme - UDP floods, TCP floods, IP6 TCP floods, o DNS floods. Ulteriori commenti Al momento non abbiamo ricevuto alcuna segnalazione dai nostri utenti riguardante infezioni dovute a questo worm. Continueremo a monitorare la situazione. Individuazione e rimozione NVC per Linux individuer� e rimuover� il worm dalla prossima versione del file di definizione dei virus. In ogni caso, non rimuover� le eventuali copie del worm gi� in esecuzione; per fare ci� gli utenti dovrebbero trovare e "killare" qualsiasi processo chiamato .bugtraq. Patches per le versioni di SSL vulnerabili sono disponibili sul sito OpenSSL.
