Этот червь, также известен под названием Linux/Lupper.worm или luppi представляет собой смешанную угрозу. Он использует три различные "дыры" в безопасности, после чего пытается инфицировать Linux систему, на которой запущены уязвимые сервисы.
Итак, это удаленный ввод кода в XML-RPC для PHP, контроль входных параметров в журнал AWStats Rawlog Plugin и удаленное выполнение кода в Darryl Burgdorf Webhints.
Проблема с XML-RPC скорее всего присутствует в Wiki и программах для администрирования блогов. AWStats – популярный анализ журналов безопасности. Под угрозой нападения AWStats могут быть только версии от 5.0 до 6.3, начиная с версии 6.4 и выше — проблем быть не должно. Ну и WebHints – старая программа-скрипт для того чтобы выводить "подсказки/цитаты/шутки/анекдоты/что угодно дня". Атакам подвержена версия 1.3, и пока, к сожалению, исправления для этой проблемы не существует. Сейчас, для большинства систем, уже доступны исправления для всех этих проблем (за исключением последней).
После того, как вирус заражает систему, он генерирует множество URL, после чего их использует (через стандартный 80й порт), чтобы попытаться заразить остальные системы. Червя удалить несложно – достаточно удалить файл /tmp/lupii. Основная проблема состоит в том, что злоумышленник может закачать на сервер все что угодно.
Опасности подвергается любая Linux система с запущенной одной из вышеупомянутых программ. Таким образом, лучше прекратить использовать WebHints, и пользоваться только лишь исправленными версиями AWStats и PHP.
Среди приложений, которые подвержены риску, такие известные, как PostNuke, Drupal, b2evolution, Xoops, WordPress, PHPGroupWare и TikiWiki. Большинство из них были обновлены, и дыра была закрыта.