esetnod32 May 13 2013 at 15:41

Linux/Cdorked.A: веб-серверы под управлением Lighttpd и nginx под угрозой

8 min

17K

ESET NOD32 corporate blog

+27

Comments 14

chernousov May 13 2013 at 16:45

Очень жёлтый заголовок.

al_one May 13 2013 at 17:27

Более того, Apache, многократно упоминаемый в тексте наряду с nginx и Lighttpd, почему-то постеснялись указать в заголовке.

VBart May 13 2013 at 19:40

Это такой способ нагадить в карму nginx и Lighttpd. Половина новостей после этого пишут, что уязвимы сами nginx и Lighttpd, хотя нет никакой информации о том, как оно попадает на сервер, и едва ли способ проникновения связан с уязвимостями в них.

chernousov May 13 2013 at 18:54

И ведь не поленился же кто-то в карму насрать.

serega_kaktus May 13 2013 at 16:48

Неплохой детектив можно снять.

Lovesuper May 13 2013 at 18:00

Использование Linux является хорошей практикой.

oldengremlin May 13 2013 at 18:28

Под nginx вроде как уже патчи вышли.
На ftp.debian.org.ua/debian-dou/ nginx-plus обещают обновить уже сегодня.
Небольшой анонс относительно уязвимости:

Была обнаружена связанная с CVE-2013-2028 проблема безопасности, затрагивающая некоторые предыдущие версии nginx при использовании proxy_pass к недоверенным HTTP-серверам.

Проблема может приводить к отказу в обслуживании или к отправке клиенту содержимого памяти рабочего процесса, если бэкенд вернёт специально созданный ответ.

Проблеме подвержены версии nginx 1.1.4 — 1.2.8, 1.3.0 — 1.4.0.

Проблема уже исправлена в nginx 1.5.0, 1.4.1. Для исправления проблемы в устаревшей ветке 1.2.x выпущена версия 1.2.9.

Патч для nginx 1.3.9 — 1.4.0 тот же, что и для CVE-2013-2028:

nginx.org/download/patch.2013.chunked.txt

Патч для более старых версий nginx (1.1.4 — 1.2.8, 1.3.0 — 1.3.8):

nginx.org/download/patch.2013.proxy.txt

oldengremlin May 13 2013 at 18:37

пардон не nginx-plus, а именно nginx обновится. nginx-plus не поддерживается.

VBart May 13 2013 at 19:45

Абсолютно не имеет отношения к топику.

charliez May 13 2013 at 18:30

# python dump_cdorked_config.py
File «dump_cdorked_config.py», line 20
shmid = shmget(SHM_KEY, SHM_SIZE, 0o666)
SyntaxError: invalid syntax

Что я делаю не так?

charliez May 13 2013 at 18:38

Нагуглил, версия питона старая оказалась :)

asterisk May 31 2013 at 12:19

для старой версии питона поменяй 0o666 на 0666
shmid = shmget(SHM_KEY, SHM_SIZE, 0666)

keltanas May 13 2013 at 23:41

Видимо, мой вопрос не к теме этой статьи, но откуда берутся зараженные версии серверов? Злоумышленники каким-то образом получают рут-доступ и патчат веб-сервера? Или в репозториях и портах выкладывают зараженные сборки?
Каким вообще образом работающий себе сервер может стать заражен, если к нему кроме админа по ssh, никто рутовый доступ получить не может?

charliez May 14 2013 at 16:51

Пока неизвестно. У меня комрады есть, нашли среди своих клиентов пораженные сервера, чесали репы и бороды, но так и не смогли понять, как именно их похачили. А дядьки крутые, админами в яндексах работают и все такое… Есть мнение, что в ход идут известные и неизвестные уязвимости в разнообразном ПО, позволяющие получить root доступ.