Re: Apache worm/exploit

 > >sulla scia della settimana nera (SSH e Apache) vi segnalo che
 > >sono fuori i sorgenti per un worm di Apache (apache-worm.c)
 > >Tutti da verificare, io non l'ho ancora fatto per mancanza di
 > >macchina sacrificale.
se vi fidate di me potete anche evitarvi di sacrificare una macchina :)
la sera stessa che e' comparso il post su bugtraq del worm col binario
mi sono messo subito a reversarlo e avevo steso un piccolo paper
che ho poi mandato a Mihai Moldovanu visto che era poco avanti nella
ricerca rispetto a me, solo che aveva trascurato alcune cose...
Btw da quello che ho visto il sorgente combacia esattamente col binario
e non solo in generale ma tante altre _piccolezze_ sono esatte quindi
a meno di una ricostruzione fedele anche di queste cose direi che il source
e' esatto con una stima approssimata del 95% :PP
Altro fatterello da notare e' che i commenti sono in italiano e cmq il worm
sembra stato scritto in gran fretta..i printf poteva levarli invece di fare
quello
che fa ora :) e poteva anche strippare il bin :P
a presto.... :)


-=Quequero=-
SpP/Member www.spippolatori.com
UIC Founder www.quequero.cjb.net
Linux Registered User #207978
Slackware User #12573


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List