 Linux系统中出现了一种称之为Ramen的蠕虫程式。他可能会入侵数千台运行RedHat 6.2/7.0 操作系统的服务器。Ramen利用了两个已知的Linux安全漏洞。他首先利用 RPC.statd 和 wu-FTP 的漏洞扫描网络上使用 RedHat 6.2/7.0 的服务器,然后尝试取得系统权限,一旦取得之后,会将一些一般的系统服务加以替换,并且将一个称之为“root kit”的程式码植入安全漏洞中,此外 Ramen 还会将站点上的首页给换成 :“RameNCrew--Hackers looooooooooooove noodles”的字样。最后,Ramen会寄两封信给两个电子信箱,并且开始入侵其他的RedHat服务器。 Ramen只针对RedHat来进行侵入,但是危害不大,但是传播的速度却惊人,15分钟内能够扫描约 130,000 个站点。 Ramen是很善良的,在攻击完成后会自动把他攻击的3个漏洞给修补上(Redhat 6.2的rpc.statd、wu-ftpd,Redhat7.0的lpd),但是会在系统上起一个进程扫描下面的机器,会占去大量网络带宽。由此可能造成其他的主机的误会连同大量占用网络带宽,使系统瘫痪。 我们能够看出,该程式其实并不能称为病毒,而是个利用了安全漏洞的类似蠕虫的程式。该程式的作者Randy Barrett也站出来声明说,这只是个安全漏洞,类似于这样的安全漏洞在各种网络服务器上都存在,他在写Ramen程式的时候也不是针对Linux的。 防治的方法很简单,请升级您的redhat 6.2的 nfs-utils , wu-ftpd , redhat 7.0的LPRng,具体下载能够到ftp://updates.redhat.com/。 检查系统是否被该程式侵入的方法是,看看有没有/usr/src/.poop这个目录被建立,连同27374端口是否被打开,假如有的话就表明已被Ramen侵入了。 看一个系统是否感染了Ramen蠕虫,主要基于以下几点: 1. 存在/usr/src/.poop目录 2. 存在/sbin/asp文档 3. 本地端口27374被打开(用netstat -an命令) 能够用以下的perl脚本程式检测: #!/bin/perl # Script that checks for signs of ramen infection # Patrick Oonk, patrick@security.nl # based on Daniel Martin’s description at # http://www.securityfocus.com/archive/75/156624 # No guarantees, do with this script whatever you like (BSD license) $detected = 0; print "Ramen worm checker.\nChecking...\n"; open(F,"/etc/redhat-release") ; print "You are running ",〈F〉,"\n";; close(F); @suspect = ("/usr/src/.poop", "/usr/src/.poop/ramen.tgz","/tmp/ramen.tgz"); foreach (@suspect) { if(-e) { print "found $_\n"; $detected++; } } open(N, "/bin/netstat -an|") or print "Could not open /bin/netstat\n"; while(〈N〉) { if (/:27374.*LISTEN/) { print "Ramen webserver detected on port 27374\n"; $detected++; last; } } close(N); if ($detected) { print "$detected telltale signs of ramen found. Get professional help\n"; } else { print "Wheee! No ramen signs found!\n"; } 清除Ramen蠕点的步骤: 1. 删除/usr/src/.poop目录和/sbin/asp文档 2. 假如存在/etc/xinetd.d/目录,则删除/etc/xinetd.d/asp 3. 删除/etc/rc.d/rc.sysinit文档中涉及到/usr/src/.poop的行 4. 删除/etc/inetd.conf文档中涉及到/sbin/asp的行 5. 重新启动系统和手动杀掉以下进程synscan,start.sh, scan.sh, hackl.sh, hackw.sh 6. 升级ftp, rpc.statd, lpr等程式 因为Ramen是通过wu-ftp, rpc.statd, lpr等程式侵入系统的,所以在对这几个程式升级前最好关闭这些程式,这样能够有效地防止被Ramen感染。 |
喜欢本文,那就收藏到: |
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus(); "添加到POCO网摘"){kind=logo}
Rss Feed
