Возвращение червя Морриса ?
"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении нового опасного Интернет-червя "Slapper", заражающего компьютеры под управлением операционной системы Linux и использующего технологию распространения в исходных текстах, впервые примененную в 1988 г. в печально известном черве Морриса.

После анализа нового червя в форуме в списке рассылки BUGTRAQ специалистами (среди них Дейв Ахмад из Symantec, Фернандо Нуньес, и др.) был выявлен механизм распространения червя. Он использует уязвимость в mod_ssl сервера Апач. обнаруженную ещё 30 июля, и после проникноввения в машину (получения шелла) создаёт файл /tmp/.bugtraq.c (занятное название, правда?). После этого происходит компиляция программы и её запуск с ip- адресом другого компьютера в качестве аргумента (кстати, её можно обнаружить - ps -ax | grep bugtraq). После заражения машина-носитель червя становится как бы членом виртуальной сети таких же заражённых компьютеров. Связь между машинами осуществляется через порт 2002/UDP. Послав запрос на этот порт, можно: выполнить команду на заражённом компьютере, направлять сообщения другой машине виртуальной сети, выполнить атаку типа TCP flood & DNS flood, сканировать на другой машине файлы, которые могут содержать E-mail адреса. В данный момент ищутся меры по предотвращению распространения червя. Один из вариантов - блокировка файрволлами порта 2002/UDP. Mario Van Velzen предлагает в качестве временной меры запретить на Вэб-серверах ServerTokens, либо установить их в ProductOnly. Как сообщила "Лаборатория Касперского" (см. предыдущее сообщение), червь уже включён в их базу данных. На данный момент подтверждена уязвимость в дистрибутивах Linux - Red-Hat: Apache 1.3.6, 1.3.9, 1.3.12, 1.3.19, 1.3.20, 1.3.22, 1.3.23, 1.3.26 SuSe: Apache 1.3.12, 1.3.17, 1.3.19, 1.3.20, 1.3.23 Mandrake: 1.3.14,1.3.19 Slakware: Apache 1.3.26.