Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

Вандалы забавляются с Linux-червем Ramen


 -->

Вандалы забавляются с Linux-червем Ramen

Vandals mutate Ramen Linux worm

Роберт Лемос (Robert Lemos), ZDNet News

22 января 2001 г.

гНесколько групп (вандалов) по какой-то причине переключились на Red Hat, + сообщил специалист по защите данных, член организации Attrition.org Мэтт Дикерсон (Matt Dickerson), известный также по псевдониму Munge. + Они изменяют HTML-страницы при помощи червя, замещая их собственным текстом и графикойё. То, что вандалы переключились на операционную систему, с которой традиционно не работали (и, похоже, ничего о ней не знают), по мнению Дикерсона, говорит о том, что для этой грязной работы они воспользовались новым хакерским инструментом.

Как уже сообщалось, червь Ramen представляет собой самораспространяющуюся программу, слепленную из нескольких таких инструментов и поражающую версии Red Hat Linux 6.2 и 7.0. Однако используемые червем пробелы в защите характерны и для других дистрибутивов Linux, а также для некоторых систем Unix.

В поисках лазеек
Ramen, в зависимости от версии ОС, может использовать известные лазейки в FTP-сервере, разработанном Вашингтонским университетом, в компоненте сервиса Remote Procedure Call или программе печати LPrng. Обычно все эти программы устанавливаются при инсталляции Red Hat 6.2 и 7.0 по умолчанию. Для всех этих лазеек имеются заплатки. Получив управление сервером, червь создает на нем свою копию, заменяет главную веб-страницу и начинает поиск других незащищенных серверов. При этом Ramen удаляет незащищенные программы, защищаясь таким образом от других своих воплощений и прочих упырей, пользующихся этими же лазейками.

На прошлой неделе, по данным Attrition.org, были поражены серверы NASA, одного из тайваньских производителей системных плат и Университета A&M штата Техас. Сообщают и о других жертвах, в числе которых британская компания Babel Media и строящийся сайт Siamstore.com. Сразу после обнаружения червя организация Computer Emergency Response Team при Университете Карнеги-Меллона опубликовала рекомендации по борьбе с ним. В большинстве случаев червь может быть легко удален с сервера.

Вероятны новые атаки
Другие недавние атаки на серверы Red Hat, похоже, вызваны модифицированной версией червя, которая уже не оставляет на веб-странице свое клеймо RameN Crew. Attrition.org + наиболее полный источник хакерской информации в вебе + указывает на общие особенности всех этих атак. По мнению Дикерсона, все они вызваны одним и тем же червем и следует ожидать новых.

По последним данным аналитической фирмы Netcraft, в вебе действует свыше 780 тыс. серверов под Red Hat 6.2 и 7.0. Так как используемые Netcraft методы позволяют идентифицировать всего 17% Linux-серверов, реальное число уязвимых машин может исчисляться миллионами. При столь огромном поле деятельности опасность заключается даже не в распространении самого червя, а в том, что под него, действуя теми же методами, могут маскироваться многие другие злоумышленники. гЭтот червь довольно-таки безобидный, + сказал на прошлой неделе координатор службы безопасности Honeynet Project Ланс Шпицнер (Lance Spitzner). + Могло быть гораздо хужеё.

Шпицнер надеется, что червь заставит администраторов и пользователей веб-сайтов изменить свое отношение к защите. гЕсли установить заплатки, Red Hat будет такой же защищенной системой, как и прочиеё, + сказал он.

Обсуждение статьи

Простите за возможное инт...  --  Skull
Старая история... Есть вп...  --  Val
Pochemu 6.2 i 7.0 ? Da p...  --  Andrew
2dimav: Ну что ж, если вы...  --  Expert
to Expert - _linux_ защищ...  --  dimav
2 Expert: Неверно думают...  --  Дмитрий
Помнится, линуксоиды пред...  --  Expert

ZDNET Russia


<== Back to main page