Червь точит Linux-серверы
Net worm hobbles Linux servers
Роберт Лемос (Robert Lemos), ZDNet News
17 января 2001 г.
Интернет-червь, состряпанный из общедоступных хакерских инструментов, способен поглотить целые участки Сети, разыскивая уязвимые серверы широкополосными щупальцами.
 |
Скриншот Ramen Linux hack |
Произведение так называемых script kiddies (интернет-вандалов) + червь Ramen + поражает серверы Red Hat, не имеющие надлежащей защиты. гСам червь опасен тем, что в процессе сканирования занимает большую часть полосы пропускания и, возможно, предоставляет авторам дистанционный доступ к пораженной машинеё, + говорит Михай Молдавану (Mihai Moldovanu), администратор сети Radio ProFM Bucharest из Румынии, которому удалось восстановить большую часть кода червя. По его словам, червь просканировал две сети класса В + примерно 130 тыс. интернет-адресов + меньше чем за 15 минут.
Виновата слабая защита
Червь использует несколько хорошо известных пробелов в защите Linux-серверов на базе версий дистрибутива Linux Red Hat 6.2 и 7.0 с настройками по умолчанию. Он был обнаружен в начале этой недели участниками почтового списка Incidents на сайте SecurityFocus.com, которые заметили возросшую интенсивность сканирования двух известных пробелов в защите, характерных для большинства Linux-серверов с настройками по умолчанию. Червь разыскивает серверы с Red Hat 6.2 или 7.0, определяя их по дате выпуска ПО, после чего пытается разными способами получить доступ к управлению ими.
К каждой гшляпеё свой подход
По данным аналитической фирмы NetCraft.com, на долю дистрибутива Linux компании Red Hat приходится почти 70% Linux-серверов в вебе. Пытаясь заразить системы Red Hat 6.2, червь пользуется лазейками RPC.statd и wu-FTP. RPC.statd + это один из нескольких сервисов дистанционного доступа к Linux-серверу. Сервис common file server Вашингтонского университета, называемый wu-FTP, также имеет лазейку в системе дистанционного доступа. Обе эти дыры есть и в других дистрибутивах Linux, включая SuSE, Mandrake и Caldera. Но червь ограничивается только серверами Red Hat. Заплатки для этих дыр существуют уже минимум как полгода. Системы Red Hat 7.0 червь пытается взломать, наводняя данными функцию регистрации ошибок сервиса печати. Переполнение буфера + обычная практика, используемая хакерами.
Получив доступ к управлению сервером, Ramen устанавливает так называемый root kit, который устраняет имеющиеся лазейки (нет худа без добра: червь Ramen может сделать интернет более защищенным) и устанавливает специальные программы, изменяющие общие функции системы, а главную страницу веб-сервера подменяет HTML-файлом с текстом: RameN Crew -- Hackers looooooooooooove noodles. Наконец, червь отправляет сообщение e-mail по двум адресам, перезагружает систему и начинает сканировать интернет заново. Оба адреса + один на Hotmail, а другой на Yahoo + похоже, уже заблокированы.
Ущерб, наносимый пораженной системе, может показаться небольшим, но червь оставляет в ней метки, по которым ее впоследствии легко обнаружить.
Экскурс в 1988 год
Своей способностью распространяться без помощи человека и поражать системы под Linux + близким родственником Unix + Ramen напоминает вирус Morris, распространившийся в ноябре 1988 года в сети Arpanet. Созданный аспирантом Корнеллского университета Робертом Моррисом (Robert T. Morris), этот червь пытался проникнуть на Unix-серверы тремя способами: маскируясь под пользователя и подбирая пароли; используя лазейку в сервисе finger, предназначенном для поиска удаленных пользователей; и используя известную лазейку в почтовой программе Sendmail. Деятельность червя Morris привела к постепенной перегрузке участков сети сообщениями e-mail и данными сканирования.
Группа Computer Emergency Response Team (CERT) при Университете Карнеги-Меллона, созданная после появления червя Morris, теперь занимается изучением червя Ramen + об этом сообщил в среду представитель CERT Билл Поллок (Bill Pollock). В среду днем группа сообщила о получении гменее пяти отчетовё о пораженных системах. Тем временем червь продолжал распространяться.
 |