Небезпечний Інтернет-черв’як для Linux: Linux.Ramen, Unix / Linux, Security & Hack, статті

www.DialogNauka.ru

Небезпечний Інтернет-черв’як, атакуючий сервера під управлінням операційних систем Red Hat Linux 6.2 і Red Hat Linux 7.0. Перші повідомлення про появі даного хробака були отримані з країн Східної Європи, що дозволяє підозрювати його восточноевпропейское походження. Для свого розмноження хробак використовує деякі слабкі місця (vulnerabilities) в додатках цих операційних систем:

Washington University’s ftp server (wu-ftpd) і Remote Procedure Call stat server (rpc.statd) для Red Hat Linux 6.2 і LPRng (lpd) для Red Hat Linux
7.0.

Зазначені програми зазвичай встановлюються при установці операційної системи Red Hat Linux “за замовчуванням” і без відповідних “заплаток безпеки “(security patches) уразливі для застосовуваних хробаком атак.

Хробак являє собою архів з ім’ям “ramen.tgz”, що містить в собі 26 різних виконуваних файлів і shell-скриптів. Кожен виконуваний файл міститься в архіві у двох примірниках: скомпільований для запуску в Red Hat 6.2 і в Red Hat 7.0. Також в архіві міститься виконуваний файл з ім’ям “wu62”, який при роботі хробака не використовується.

При старті черв’як встановлює на tcp-порт 27374 невеликий HTTP-сервер, який на будь-який запит до нього віддає основний файл хробака “ramen.tgz”. Далі починає роботу скрипт start.sh, який визначає версію операційної Red Hat по наявності або відсутності файлу / etc / inetd.conf, копіює бінарні файли, скомпільовані відповідно до версією системи у файли з іменами, які використовуються в подальшому для запуску з його скриптів, а потім запускає в фоновому, де неперервні режимі три свої основні частини:

При успішній відпрацювання одного з цих атак на атакується сервері виконується наступна послідовність операцій:


Далі черв’як шукає в системі всі файли з ім’ям “index.html” і замінює їх утримання на html-код, який виводить на екран наступний текст:


RameN Crew
Hackers looooooooooooooooove noodles.

Після цього хробак видаляє файл / etc / hosts.deny для скасування всіх заборон на з’єднання і отримує викликом свого shell-скрипта IP адреса атакованої машини. Потім черв’як копіює свій HTTP-сервер в файл / Sdin / asp, прописує його виклик шляхом завдання відповідних налаштувань у / Etc / inetd.conf для Red Hat 6.2 або в / etc / xinetd.d для Red Hat 7.0 і переініціалізірует сервіс inetd / xinetd для запуску свого HTTP-сервера.

Для запобігання повторних спроб атак на дану систему вірус видаляє вразливі сервіси:


Далі черв’як прописує виклик свого start.sh в / etc / rc.d / rc.sysinit, що дозволяє йому повторно активізуватися при кожному завантаженні системи.

При зовнішній нешкідливості хробак надзвичайно небезпечний, тому що порушує нормальне функціонування сервера: робота http-сервера буде порушена знищенням вмісту всіх index.html файлів, анонімний ftp-доступ до серверу буде заборонений, Сервіси rpc і lpd будуть видалені, обмеження доступу через hosts.deny будуть зняті.

Черв’як використовує в своєму коді багато злегка модифіковані експлоїти, доступні раніше на хакерських сайтах, а також на сайтах, присвячених мережевої безпеки.

Cлід відзначити, що хробак використовує при атаках “дірки”, сама “Свіжа” з яких відома з кінця вересня 2000 року. Однак той факт, що при інсталяції системи на неї встановлюються уразливі сервіси, а багато користувачів і адміністратори не виробляють відповідний моніторинг попереджень про “слабких місцях” системи і вчасно не проводять їх усунення, робить хробак більш ніж життєздатним: нині час зафіксовано багато випадків успішних атак систем цим хробаком.

Слід зазначити, що в даний час протиотрута від хробака Linux.Ramen включено в чергове “гаряче” доповнення програми-антивіруса Dr.Web.

Інформаційна служба ЗАТ “ДіалогHаука”

E-mail: Antivir@DialogNauka.ru


WWW: www.DialogNauka.ru

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*