Вандалы забавляются с Linux-червем Ramen
Vandals mutate Ramen Linux worm
Роберт Лемос (Robert Lemos), ZDNet News
22 января 2001 г.
гНесколько групп (вандалов) по какой-то причине переключились на Red Hat, + сообщил специалист по защите данных, член организации Attrition.org Мэтт Дикерсон (Matt Dickerson), известный также по псевдониму Munge. + Они изменяют HTML-страницы при помощи червя, замещая их собственным текстом и графикойё. То, что вандалы переключились на операционную систему, с которой традиционно не работали (и, похоже, ничего о ней не знают), по мнению Дикерсона, говорит о том, что для этой грязной работы они воспользовались новым хакерским инструментом.
Как уже сообщалось, червь Ramen представляет собой самораспространяющуюся программу, слепленную из нескольких таких инструментов и поражающую версии Red Hat Linux 6.2 и 7.0. Однако используемые червем пробелы в защите характерны и для других дистрибутивов Linux, а также для некоторых систем Unix.
В поисках лазеек
Ramen, в зависимости от версии ОС, может использовать известные лазейки в FTP-сервере, разработанном Вашингтонским университетом, в компоненте сервиса Remote Procedure Call или программе печати LPrng. Обычно все эти программы устанавливаются при инсталляции Red Hat 6.2 и 7.0 по умолчанию. Для всех этих лазеек имеются заплатки. Получив управление сервером, червь создает на нем свою копию, заменяет главную веб-страницу и начинает поиск других незащищенных серверов. При этом Ramen удаляет незащищенные программы, защищаясь таким образом от других своих воплощений и прочих упырей, пользующихся этими же лазейками.
На прошлой неделе, по данным Attrition.org, были поражены серверы NASA, одного из тайваньских производителей системных плат и Университета A&M штата Техас. Сообщают и о других жертвах, в числе которых британская компания Babel Media и строящийся сайт Siamstore.com. Сразу после обнаружения червя организация Computer Emergency Response Team при Университете Карнеги-Меллона опубликовала рекомендации по борьбе с ним. В большинстве случаев червь может быть легко удален с сервера.
Вероятны новые атаки
Другие недавние атаки на серверы Red Hat, похоже, вызваны модифицированной версией червя, которая уже не оставляет на веб-странице свое клеймо RameN Crew. Attrition.org + наиболее полный источник хакерской информации в вебе + указывает на общие особенности всех этих атак. По мнению Дикерсона, все они вызваны одним и тем же червем и следует ожидать новых.
По последним данным аналитической фирмы Netcraft, в вебе действует свыше 780 тыс. серверов под Red Hat 6.2 и 7.0. Так как используемые Netcraft методы позволяют идентифицировать всего 17% Linux-серверов, реальное число уязвимых машин может исчисляться миллионами. При столь огромном поле деятельности опасность заключается даже не в распространении самого червя, а в том, что под него, действуя теми же методами, могут маскироваться многие другие злоумышленники. гЭтот червь довольно-таки безобидный, + сказал на прошлой неделе координатор службы безопасности Honeynet Project Ланс Шпицнер (Lance Spitzner). + Могло быть гораздо хужеё.
Шпицнер надеется, что червь заставит администраторов и пользователей веб-сайтов изменить свое отношение к защите. гЕсли установить заплатки, Red Hat будет такой же защищенной системой, как и прочиеё, + сказал он.
Простите за возможное инт... -- Skull
Старая история... Есть вп... -- Val
Pochemu 6.2 i 7.0 ? Da p... -- Andrew
2dimav: Ну что ж, если вы... -- Expert
to Expert - _linux_ защищ... -- dimav
2 Expert:
Неверно думают... -- Дмитрий
Помнится, линуксоиды пред... -- Expert