Nieuws
image

PerlBot besmet Unix-systemen

vrijdag 20 augustus 2010, 17:12 door Redactie, 12 reacties

Het Internet Storm Center (ISC) waarschuwt Unix-beheerders voor een PerlBot genaamd Casper, die steeds meer systemen infecteert. Het 110KB grote Perl script zou voornamelijk door scriptkiddies worden gebruikt, zoals uit deze Google zoekopdracht blijkt. "Elk scriptkiddy of hax0r gebruikt delen uit het script, waarschijnlijk met zoek-en-vervang, om ervoor te zorgen dat hun eigen nick net zo prominent is als die van Casper", zegt ISC-handler Daniel Wesemann.

De PerlBot bevat ook andere PHP remote file inclusion (RFI) exploits, maar het script is ook aangetroffen op servers waar geen PHP draait. Voor anti-virusbedrijf Sophos een mooi moment om anti-virus software te pluggen. "We zien elke dag grote hoeveelheden malware voor Windows en hoewel malware voor andere besturingssystemen zeldzamer is, is geen enkel besturingssysteem immuun. Wij adviseren dat alle computergebruikers anti-virus gebruiken, zelfs die *nix draaien", zegt Paul O Baccas.

Reacties (12)
20-08-2010, 18:24 door SirDice
Vergelijkbare scripts heb ik wel vaker gezien.
20-08-2010, 20:41 door Anoniem
Door SirDice: Vergelijkbare scripts heb ik wel vaker gezien.

goed om te weten :S maar eerlijk gezegt lijkt me dit inderdaad niets nieuws....
20-08-2010, 21:28 door Anoniem
Gebruikt vaak "MaMa CaSpEr" als useragent.
Al vaker deze exploitscanner zien langskomen vooral op WordPress websites.
21-08-2010, 00:51 door Anoniem
Baccas reageert een beetje vreemd. Ik zie dagelijks malware op Linux (bepaald niet zeldzaam dus) maar de detectiegraad door anti-virus producten is vrij laag tot zelfs helemaal afwezig. Het is nog steeds een ondergeschoven kindje. Scripts worden maar moeizaam als kwaardaardig herkent. Dat kan beter...
21-08-2010, 05:51 door Anoniem
http://www.joopjr.nl/em/ipays/scan.txt
21-08-2010, 12:41 door Bitwiper
Door SirDice: Vergelijkbare scripts heb ik wel vaker gezien.
Metoo. IRC botje: $botports=array("6667","6668","6669","7000");

Hmm, kennelijk van Indonesische origine. Grappig ook dat McAfee de page uit je browser cache verwijdert als je bijv naar http://www.joopjr.nl/em/ipays/bot.txt surft - OEOEH! Een enge tektstfile in de browsercache! Ik heb liever dat een desktop-virusscanner betrouwbaar serieuze webexploits en kwaadaardige PDF's filtert, en juist detectie daarvan laat vaak flink te wensen over.
22-08-2010, 17:53 door benjamin1555
http://www.sophos.com/blogs/sophoslabs/?p=10772
22-08-2010, 18:12 door [Account Verwijderd]
[Verwijderd]
22-08-2010, 18:43 door benjamin1555
Door Peter V:
Door SirDice: Vergelijkbare scripts heb ik wel vaker gezien.
Dat vind ik interessant. Waar heb je die gevonden?


http://www.offensivecomputing.net/ ??
23-08-2010, 10:58 door SirDice
Door Peter V:
Door SirDice: Vergelijkbare scripts heb ik wel vaker gezien.
Dat vind ik interessant. Waar heb je die gevonden?
Op systemen die mijn server probeerden aan te vallen.
23-08-2010, 15:10 door Aeterna
Door Anoniem: Gebruikt vaak "MaMa CaSpEr" als useragent.
Al vaker deze exploitscanner zien langskomen vooral op WordPress websites.

Enkele varianten hierop als user agents:
Jcomers Bot scan
Mozilla/4.76 [ru] (X11; U; SunOS 5.7 sun4u
plaNETWORK Bot Search
Casper Bot Search

Zo ook te vinden in de emergingthreats snort rules. ;)
23-08-2010, 16:50 door SirDice
Door Bitwiper: Grappig ook dat McAfee de page uit je browser cache verwijdert als je bijv naar http://www.joopjr.nl/em/ipays/bot.txt surft - OEOEH! Een enge tektstfile in de browsercache!
Bedenk dat extensies niet uitmaken voor perl. Je kunt net zo makkelijk perl /tmp/some.txt uitvoeren. Vandaar dat McAfee, terecht, aan de bel trekt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search