Недавно наткнулся на статью про найденную уязвимость в веб-сервере apache.

Пять дней назад в листе рассылки Full Disclosure появился скрипт, по заявлению автора, убивающий Apache начиная от самых старых версий до самых новых.

Работает скрипт очень просто : запускает простой запрос в несколько десятков потоков.

HEAD / HTTP/1.1
Host: www.example.com
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,<...>,5-1299,5-1300
Accept-Encoding: gzip
Connection: close

В ответ на такой запрос Apache для подсчета Content-Length собирает в памяти длинный ответ из перекрывающихся кусков запрошенного файла, который может занять и занимает значительный объём памяти. При этом потребление памяти Apache начинает резко расти, как на том графике в начале, что при должном, совсем небольшом, количестве запросов приводит к DoS даже на приличных серверах.

Проверить, уязвим ли ваш сервер к этой атаке легко:

curl -I -H "Range: bytes=0-1,0-2" -s www.example.com/robots.txt | grep Partial

Если Вы увидели ответ :

206 Partial Content

То Ваш сервер 100% уязвим для такой атаки.

Что же делать и как поставить защиту ?

Самым простым способомбудет прописать для nginx запрет для проксирования пустых запросов :

proxy_set_header Range "";
proxy_set_header Request-Range "";

А вот если nginx у Вас нет, то рекомендую его установить. Или по сообщениям сайта  cybersecurity.ru :

Разработчики web-сервера Apache сообщают об исправлении опасной уязвимости CVE-2011-3192 , которая использовалась злоумышленниками для проведения атак на отказ в обслуживании web-серверов. Стоит отметить, что web-сервер Apache обеспечивает работу двух третей всех сайтов в мире.

Напомним, что опасная уязвимость была обнаружена независимыми специалистами в области информационной безопасности 20 августа. В тот же день в сети Интернет появился эксплоит, который позволял вывести из строя любой сайт, который использует Apache HTTP Server.

Уязвимость в Apache HTTP Server позволяла злоумышленникам аварийно завершать работу web-серверов, используя простую вредоносную программу. Ошибка заключалась в способе обработки большого количества Range запросов в HTTPD, что приводило к исчерпанию ресурсов удаленной системы. Ошибка была исправлена в новой версии Apache HTTP Server 2.2.20. Однако для того, чтобы предотвратить атаку, все администраторы сайтов, которые используют Apache HTTP Server, должны самостоятельно установить обновление.

Обновился пакет обновлений для Windows XP, вышедших после выхода ServicePack3.

В пакет обновлений вошли все апдейты до сентября 2009 года, все исправления безопасности , включая защиту от червей и вирусов таких как sector5 и Conficker.

Скачать с depositfiles.com

Итак многие уже наверно знают, как я отношусь ко всякого рода приложениям на ВКонтакте.

Помимо нового API, предложенного пользователям для раработки своих приложений мошенники на этом не остановились.

Я всегда не доверяю приложениям , разработанными пользователями. Особенно теми, которые запрашивают доступ к личным данным.

Первая волна прокатилась с приложением «Счастливый фермер». На сегодняшний день уже многие копии удалены, что само собой наводит на подозрение. Так же многие не задумываясь, воодили свои пароли по запросу этого приложения.

Но как оказалось приложению не обязательно быть вирусом.

Недавно я сам стал «почти жертвой» таких мошенников.

Однажды утром загрузив страничку и набрав пароль очень удивился :

смс мошенники

Как видите интерфейс и дизайн полностью совпадает с Вконтактом.

Многие сразу же прикинув — «Как же я буду без ВКонтакта», кинулись отправлять смс. Благо первые версии, очевидно, разрабатывались для России, и деньги с украинских операторов не взымаллись, но думаю это скоро будет исправлено.

Первое, что я сделал — это , конечно, проверил свой компьютер на предмет вирусов, но 3 антивируса (Nod32 v.4 BE, AVAST Pro и КИС) ничего не нашли.

Второе что мне пришло в голову это проверить соответствие адреса Вконтакта :

nslookup vkontakte.ru:
Address:  ххх.ххх.ххх.ххх
vkontakte.ru
Addresses:  93.186.227.124
93.186.227.125
93.186.227.126
93.186.227.129
93.186.227.130
93.186.228.129
93.186.229.2
93.186.229.3
93.186.224.233
93.186.224.234
93.186.224.235
93.186.224.236
93.186.224.238
93.186.224.239
93.186.225.6
93.186.225.211
93.186.225.212
93.186.226.4
93.186.226.5
93.186.226.129
93.186.226.130
93.186.227.123

Как видим и тут все в порядке.

Третей мыслью осталось только проверить путь маршрута :

не буду приводить полный маршрут,но уже первые строчки заставили насторожиться :

C:\Users\spider>tracert vkontakte.ru
Трассировка маршрута к vkontakte.ru [188.120.244.207]
с максимальным числом прыжков 30:


188.120.244.207

Этого адреса не должно быть (см. код выше зарегестрированных адресов ВКонтакта)

Уже догадываясь, куда смотреть открываю файл C:\windows\system32\drivers\etc\hosts :
188.120.244.207 vk.com
188.120.244.207 vkontakte.ru
188.120.244.207 vk.com
188.120.244.207 vkontakte.ru
188.120.244.207 vk.com
188.120.244.207 vkontakte.ru

и точно, подмена оригинальных адресов левыми.

Кто не в курсе, разьясню : этот файл ресолвит (определяет адреса IP сайтов по их имени) адреса сайтов ДО DNS сервера.

Чтобы избавиться от этого псевдосайта просто удалите вышеперечисленные адреса из файла C:\windows\system32\drivers\etc\hosts

Мораль: не устанавливайте подозрительные приложения, а особенно те, для работы которых нужно установить их себе на страницу и дать доступ к личным данным.

Проверяйте периодически данный файл на предмет «лишних» записей (по умолчанию там должна быть только 1 строчка 127.0.0.1 localhost).

И самое главное: не спешите отсылать смс — мошенники рядом !