දැනුම්දිමයි - Apache Server [new DDOS Attack Vulnerable] පාවිච්චි කරන අය පරිස්සමින් ...
මම දැන් මෙතැන දිග පොස්ට් ලියන්න යන්නේ නෑ... කම්මැලි , වැඩිපුර කියවන්න ඕනේ අයට නෙට් එකෙන් හොයාගන්න ... (හැම reference link එකක්ම මතක නෑ :( ) . මොනා වුනත් මේ ගැන දැනුවත් කරොත් හොඳයි කියලා හිතුනා , බලන එකෙක් බලන්නේ නැතෑ ...
සතියකට විතර ඉස්සෙල්ලා Apache server software එකේ ලොකු හිලක් (දෝශයක්) , Kingcope කියලා බුවෙක් පෙන්වලා දිලා තියෙනවා (https://issues.apache.org/bugzilla/show_bug.cgi?id=51714) ... , පස්සේ කට්ටිය පොඩ්ඩක් බලනකොට තමා දෝශය , හෙන ගිනි ගෙඩියක් කියලා හොයාගෙන තියන්නේ .
ගිනිගෙඩිය කියන්නේ , මුලින්ම අපි browser header එකෙන් sever එකට යවන requests , අසම්පුර්ණ requests ලෙස ( requests details භාගෙට වගේ) , Apache httpd එකට යවනවා. ඊටපස්සේ අදාල requests server එකෙන් process කරනවා. මෙතැන තමා server එකට බෝලේ හම්බවෙන්නේ , අසම්පුර්ණ requests නිසා server daemon (http://commons.apache.org/daemon/) [ඕක බර වැඩි නම් Apache software එක කියලා හිතාගන්නකෝ ...] ට අදාල requests process කරන්න , හැමවෙලාවෙම memory <--> file system මාරු වෙන්න ඕනේ නිසා , requests ගාන වැඩිවුන ගමන් server resources ඔක්කොම ඇදගන්නවා , රීලඟට resources මදි වුන ගමන් requests handle කරගන්න බැරි නිසා , ගෙම්බා පොලේ ගැහුවා වගේ server එක නිවන් යනවා ... (සාමාන්යය DDOS එකක් , vulnerable එක තියන්නේ අසම්පුර්ණ requests , Apache httpd එකෙන් භාරගැනිම ..).
ගිනි බෝලේ නම් කරලා තියන්නේ නම් "Apachekiller" කියලා . මේකේ ගෑස් කිය කිය හැමෝම බය වෙන්න හේතුව තමා , සාමාන්යය 3G (1-3 Mbps) නෙට්වර්කින් connection එකකින් , විනාඩියක් හෝ 2ක් , මේ දෝෂය සහිත server එකකට මේ attack එකක් කලොත් , සර්වර් එකට කෙලින්ම නිවන් දකින්න පුලුවන් . රීට වඩා තියන ලොකුම ආතල් එක තමා , දෝෂය හොයාගත්තේ ආසන්න නවතම සංස්කරණයක නිසා (vulnerable found version : 2.2.17 & current latest version :2.2.19) දෝශය ver. 1.3 ඉඳලා නවතම සංස්කරනය (current latest version :2.2.19 ) වෙනකම්ම තියනවා . ඒ කියන්නේ දැනට නෙට් එකේ තියන මුලු සර්වර් වලින් 50% වගේ වැඩි සංඛ්යාවකට මේ දෝශය තියනවා .
මාත් මේක පොඩ්ඩක් හොයාලා බැලුවා , වැඩේ කිව්වා වගේම භයානකයි , perl script එකක් තියනවා , attack දෙන්නම ලියපු . කෝඩ් එක ඕන අයට ගන්න ඔන්න පහලින් දැම්මා ..
http://tinypaste.com/13cf3d
usage: perl scriptName.pl <host> [numforks] ;
example: perl scriptName.pl www.example.com 50 ;
තව perl script එක run කරන්නේ නෑතුව server එකක මේ දෝශය තියනවාද කියලා බලන්න curl library (http://curl.haxx.se/download.html) එක දාගෙන බලන්න පුලුවන් (මම නම් curl වලින් ටෙස්ට් කලේ නම් නෑ , මේක ලියලා ඉවර වෙලා බලමුකෝ :P )
To test your susceptibility to this attack you could run curl with the following to determine if Partial Content is supported on your Apache Site;curl -H "Range:bytes=1-" -I http://target.com | grep Partial
තාමත් ට්කක් අවුල් වගේ අයට බලන්න කියලා මේ attack එක ගැන තිබ්බ විඩියෝ කට්ටක් දැම්මා ඕන් , විඩියෝවේ ඔක්කොම හොඳට විස්තර කරලා තියනවා , තේරෙන , නොතෙරෙන ඔක්කොම අය ඕක බලන්න , එතකොට ටිකක් හරි තේරෙයි ... :D (විඩියෝවේ කඩ්ඩ පොඩ්ඩක් අවුල් , ඒ වුනත් කියන එක තේරෙනවා .)
විඩියෝව සඳහා සබැඳුම් :
Apache killer perl script :http://seclists.org/fulldisclosure/2011/Aug/175 or http://tinypaste.com/13cf3d
BackTrack 5 : http://www.backtrack-linux.org/
මුලාශ :
- https://issues.apache.org/bugzilla/show_bug.cgi?id=51714
- http://www.crn.com/news/security/231600200/apache-killer-tool-exploits-dos-flaw.htm
- http://www.hacklabs.com/home/2011/8/24/research-apache-dos-exploit-partial-content.html
- [Image] : Google Images
