Linux'da Virus Alarmı !

[okan_668]

Bu yeni zararlı Windows'tan Linux'a, modeminizden uydu alıcınıza kadar her şeyi tehdit ediyor!



Yeni bir solucan, Linux ve PHP ile çalışan x86 bilgisayarları hedefine almış bulunuyor. Bu solucanın tehdit ettiği cihazların arasında, modemler ve uydu alıcılar gibi ürünler de bulunabiliyor.

Symantec'teki güvenlik araştırmacılarının söylediğine göre, bu zararlı yazılım, php-cgi üzerindeki bir açığı kullanarak yayılıyor. Bu açık, CVE-2012-1823 olarak belirlenmiş durumda ve PHP 5.4.3 ve PHP 5.3.13 güncellemeleri ile Mayıs 2012 tarihinde onarılmıştı.

Yeni solucan Linux.Darlloz olarak adlandırıldı ve ekim ayının sonlarında yayınlanmış olan bir kodu temel alıyor. Bu zararlı yazılımın çalışma sistemi ise Symantec araştırmacıları tarafından şu şekilde açıklanıyor: "Çalışmaya başlamasının ardından, zararlı rastgele IP adresleri üretiyor ve makine üzerindeki özel bir yola, tanınan ID ve şifreler ile ulaşıyor ve HTTP POST izni istiyor, bu şekilde de zayıflıktan faydalanabiliyor. Tabi eğer hedef, güncellemeyi yapmamış ise..."

Şu ana kadar etkilenen tüm hedefler, x86 sistemler çünkü saldıran server'ın kullandığı binary ELF formatında. Ancak Symantec araştırmacıları, saldırganın ARM, PPC, MIPS ve MIPSEL gibi başka formatlardaki solucanlara da sahip olduğunu belirtmekte: "Görünene göre, saldırgan, Linux kullanan ürünleri hedefleyerek etki alanını mümkün olduğunca büyük tutmaya çalışıyor. Ancak, henüz PC dışındaki ürünlere yapılan bir saldırıyı kanıtlamış değiliz."

PC dışındaki ürünlerin güncellenerek açıklıkların kapatılması da oldukça zor bir durum. Pek çok satıcı düzenli güncellemeleri sunmuyor, sundukları zaman ise kullanıcıların bu güncellemelerde onarılan güvenlik sorunları ile ilgili düzgün bir bilgileri olmuyor. Bunlara ek olarak, bu ürünlerin yazılımlarını güncellemek, bilgisayarlara göre daha fazla iş ve teknik bilgi gerektiriyor. Kullanıcıların, güncellemelerin nerede yayınlandıklarını bilmeleri, bu güncellemeleri kendileri indirmeleri ve ürünlerine Web tabanlı bir ara yüz ile yüklemeleri gerekiyor.

kaynak : http://www.chip.com.tr/haber/sonunda-linux-u-da-vurdular_43991.html

[krwlng]

1 milyarıncı Linux ve virüs haberi, Bu chip dergisi bu haberleri yapmaktan sıkılmadı bir türlü. İşin garibi, çoğunlukla işin iç yüzü araştırıldığında çok basit ve 1 dakikada kapanabilecek açıklar olduğu anlaşılıyor, ve uzun süre geçmeden bu açıklar kapanıyor, ama haber başlığına bakarsanız "Linux patladı bitti, aman tüh ne olacak şimdi" gibi ilgi çekmeye çalışan başlıklardan vazgeçemiyorlar.

[furkankalkan]

Symantec bile ciddiye almamış zaten virüsü. http://www.symantec.com/security_response/writeup.jsp?docid=2013-112710-1612-99

[meda]

Chip deyince aklıma hep demode eskimeye yüz tutmuş haberler geliyor.

[Tuxie]

Ya lütfen artık şu chip midir neyin nesidir şunun haberlerini vermeyin burada ya.Ciddiye alıp başlığıda açıyoruz yani. Okumaya bile değmez haberler bunlar.Kimlere hizmet ettiği belli bir yayın organı bence.
Ne yani virüs girdi diye Linux'tan vazgeçeceğimizi sanıyorlar anlamadım??

[ekremsenturk]

Modemler ve uydu alıcıları ne zamandan beri x86 işlemciler kullanıyormuş ?

[KemalALKIN]

Modemler ve uydu alıcıları ne zamandan beri x86 işlemciler kullanıyormuş ?

+1

[freeman]

Chip gitsin, Windows 'un reklamını yapsın.
Linux 'la iligli haber maber yapmasın arkadaş.

[CSTGT]

"Bak Linux'de bile virüs kol geziyor hadi sen Windows'a geri dön" subliminal mesaj içeren haber, olllldu canım çok ürktüm hemen dönüyorum şeklinde tepki ile karşıladığım haber.

[yakusha]

Şu muhteşem virüsü dört gözle bekliyorum

[heartsmagic]

Modemler ve uydu alıcıları ne zamandan beri x86 işlemciler kullanıyormuş ?

Yeni bir solucan, Linux ve PHP ile çalışan x86 bilgisayarları hedefine almış bulunuyor. Bu solucanın tehdit ettiği cihazların arasında, modemler ve uydu alıcılar gibi ürünler de bulunabiliyor.

Şu ana kadar etkilenen tüm hedefler, x86 sistemler çünkü saldıran server'ın kullandığı binary ELF formatında. Ancak Symantec araştırmacıları, saldırganın ARM, PPC, MIPS ve MIPSEL gibi başka formatlardaki solucanlara da sahip olduğunu belirtmekte: "Görünene göre, saldırgan, Linux kullanan ürünleri hedefleyerek etki alanını mümkün olduğunca büyük tutmaya çalışıyor. Ancak, henüz PC dışındaki ürünlere yapılan bir saldırıyı kanıtlamış değiliz."

Normal sistemlerde bu açık çabuk kapatılır ancak bahsi geçen modemlerde güncelleme yapılmamışsa düşünmek lazım. Kendi evimdeki IP adresim için açık portlar:

Kod Seç Genişlet

22/tcp   open     ssh
23/tcp   filtered telnet
53/tcp   open     domain
80/tcp   filtered http
2222/tcp filtered EtherNet/IP-1
8011/tcp open     unknown
8081/tcp open     blackice-icecap

Görüldüğü üzere 80 portu açık, uzaktan erişime kapatmamışım bunu. Eh, modem yazılımını da güncellemediğim için içimde şüphe oluşmadı değil hani. 

Öyle her virüs haberini ciddiye almaya lüzum yok elbette ancak sürekli kulak ardı etmek de doğru değil. En azından neymiş ne değilmiş diye bakmak lazım bence. 

[furkankalkan]

@heartsmagic eğer modeminiz destekliyorsa 80 portuna sadece yerel netmask ten erişilmesini sağlayabilirsiniz.Ve giriş için de sık kullanılan şifreleri kullanıyormuş zaten. Eğer şifreniz kaliteliyse hiç korkmayın derim.

[heartsmagic]

Parolamdan şüphem yok sayılır ancak günümüzde şüphe duymak lazım sanırım Ip adresim de sabit olmadığı için pek üstünde durmuyorum açıkçası.