|
 Все новости от 18 января 2001 г.
Червь точит Linux-серверы
Интернет-червь, состряпанный из общедоступных хакерских инструментов, способен поглотить целые участки Сети, разыскивая уязвимые серверы широкополосными щупальцами.
 |
Скриншот Ramen Linux hack
|
Произведение так называемых script kiddies (интернет-вандалов) — червь Ramen — поражает серверы Red Hat, не имеющие надлежащей защиты. «Сам червь опасен тем, что в процессе сканирования занимает большую часть полосы пропускания и, возможно, предоставляет авторам дистанционный доступ к пораженной машине», — говорит Михай Молдавану (Mihai Moldovanu), администратор сети Radio ProFM Bucharest из Румынии, которому удалось восстановить большую часть кода червя. По его словам, червь просканировал две сети класса В — примерно 130 тыс. интернет-адресов — меньше чем за 15 минут.
Виновата слабая защита
Червь использует несколько хорошо известных пробелов в защите Linux-серверов на базе версий дистрибутива Linux Red Hat 6.2 и 7.0 с настройками по умолчанию. Он был обнаружен в начале этой недели участниками почтового списка Incidents на сайте SecurityFocus.com, которые заметили возросшую интенсивность сканирования двух известных пробелов в защите, характерных для большинства Linux-серверов с настройками по умолчанию. Червь разыскивает серверы с Red Hat 6.2 или 7.0, определяя их по дате выпуска ПО, после чего пытается разными способами получить доступ к управлению ими.
К каждой «шляпе» свой подход
По данным аналитической фирмы NetCraft.com, на долю дистрибутива Linux компании Red Hat приходится почти 70% Linux-серверов в вебе. Пытаясь заразить системы Red Hat 6.2, червь пользуется лазейками RPC.statd и wu-FTP. RPC.statd — это один из нескольких сервисов дистанционного доступа к Linux-серверу. Сервис common file server Вашингтонского университета, называемый wu-FTP, также имеет лазейку в системе дистанционного доступа. Обе эти дыры есть и в других дистрибутивах Linux, включая SuSE, Mandrake и Caldera. Но червь ограничивается только серверами Red Hat. Заплатки для этих дыр существуют уже минимум как полгода. Системы Red Hat 7.0 червь пытается взломать, наводняя данными функцию регистрации ошибок сервиса печати. Переполнение буфера — обычная практика, используемая хакерами.
Получив доступ к управлению сервером, Ramen устанавливает так называемый root kit, который устраняет имеющиеся лазейки (нет худа без добра: червь Ramen может сделать интернет более защищенным) и устанавливает специальные программы, изменяющие общие функции системы, а главную страницу веб-сервера подменяет HTML-файлом с текстом: RameN Crew -- Hackers looooooooooooove noodles. Наконец, червь отправляет сообщение e-mail по двум адресам, перезагружает систему и начинает сканировать интернет заново. Оба адреса — один на Hotmail, а другой на Yahoo — похоже, уже заблокированы.
Ущерб, наносимый пораженной системе, может показаться небольшим, но червь оставляет в ней метки, по которым ее впоследствии легко обнаружить.
Экскурс в 1988 год
Своей способностью распространяться без помощи человека и поражать системы под Linux — близким родственником Unix — Ramen напоминает вирус Morris, распространившийся в ноябре 1988 года в сети Arpanet. Созданный аспирантом Корнеллского университета Робертом Моррисом (Robert T. Morris), этот червь пытался проникнуть на Unix-серверы тремя способами: маскируясь под пользователя и подбирая пароли; используя лазейку в сервисе finger, предназначенном для поиска удаленных пользователей; и используя известную лазейку в почтовой программе Sendmail. Деятельность червя Morris привела к постепенной перегрузке участков сети сообщениями e-mail и данными сканирования.
Группа Computer Emergency Response Team (CERT) при Университете Карнеги-Меллона, созданная после появления червя Morris, теперь занимается изучением червя Ramen — об этом сообщил в среду представитель CERT Билл Поллок (Bill Pollock). В среду днем группа сообщила о получении «менее пяти отчетов» о пораженных системах. Тем временем червь продолжал распространяться.
|
 |
 | Skull - andrey_tiger i.am
18 Jan 2001 4:46 PM |
А ведь говорено же было - закрывайте порты и
ставьте нормальный софт! |
|
| Сергей - metallistukrpost.net
18 Jan 2001 7:01 PM |
| Дали пингвинам по шапке :). Только не дырявого софта не бывает - особенно если он бесплатный, его все-таки люди пишут. Рано или поздно взломают что угодно и где угодно. |
|
| Голомызый
18 Jan 2001 7:38 PM |
| Шляпа, чего с нее возмешь. Вот Ситилайн на шляпе сидел, и списки его логинов не мог найти только ленивый. А линурасы все орут, мол рулез-рулез. |
|
| alex
18 Jan 2001 8:02 PM |
| Как это допустили такую утечку критической информации! |
|
| Next Motherfucker
18 Jan 2001 10:49 PM |
Линукс - гамно!
|
|
| Skull - andrey_tigeri.am
19 Jan 2001 5:51 AM |
У кривого админа и софт кривой! Нефиг горе-админам
ставить все по дефаулту! |
|
| Виктор - victortvmaxima.perm.ru
19 Jan 2001 7:44 AM |
Уж сколько раз твердили миру - не пользуйтесь Шляпой. Или если уж пользуетесь, то ставьте предыдущую версию и ОБЯЗАТЕЛЬНО со всеми заплатами. Работайте на стабильных дистрибутивах
и все будет ОК. |
|
| Пономарь - Ponomarhotmail.com
19 Jan 2001 9:41 AM |
| Сказать, что Unix говно - не сказать ничего. Сколько её, бедную, писали, сколько пэтчили - до лампочки. Ломали и будут ломать. |
|
| Alexey - titanisheyahoo.com
19 Jan 2001 9:50 AM |
Вобще для серверов линукссовершенно не подходит,
уж если и использовать Open Source, так лучше
решения, чем FreeBSD нет ! |
|
| ifd - ifdchat.ru
19 Jan 2001 10:46 AM |
| Ну сломали Пингвиникс! Ну и что? Сколько форточки ломают? А? А вообще-то вирус, если кто заметил ставит патчи. Вот вам новый способ борьбы с вирусами. А вот если этим займутся большие братки, то Вы ребята будете работать отдельно от интернета, потому как заплатки к ВыньДос забьют вам весь канал нахрен! И это только в том случае, если заплатки с вас денег требовать не будут... |
|
| Вкуц
19 Jan 2001 10:55 AM |
Сколько ломали UNIX? Винду?
Пжалста...
30% взломов - NT. 12% - LiNuX. 2%-W2k.... Где остальный проценты - чесно не знаю :)))... 80% взломов НТ и 70 хНИХов - из настройки по умолчанию (читай - из-за кривых ручек). Из-за дырок в защите - ЕДИНИЦЫ взломов. За взлом НЕ СЧИТАЮТСЯ последствия запуска "левого" софта.
Вот и все... Статистика, млин...
У каждой системы свои недостатки.. идеальных платформ не бывает... |
|
| no one
19 Jan 2001 11:57 AM |
| Ну вот, на радость ламерам, не сумевшим осоить bash, ломанули линух, поставленый по дефалту. Млин, каким же кретином надо быть, чтоб оставить все как есть и при этом еще полгода заплатку не скачать ? Наверно, таким же, которые орут Linux - sux , просто не умея с ним работать по причине скисших мозгов... |
|
| Gnida
19 Jan 2001 12:38 PM |
| А меня поламали (пропачили :) |
|
| Dmitry Grigorovich - odipbiogate.com
19 Jan 2001 3:05 PM |
To: no one
Расслабся и примирись с мыслью, что не все такие умные как ты. Куча народу просто работает и про безопасность не знает вообще ничего :)
А вообще идея такого вируса витала со времен Моррисона. Странно, что только сейчас сделали.
На windows системы хватает элементарных word-овых троянцев.
|
|
| Orgazm - administratormailru.com
19 Jan 2001 4:56 PM |
Хммммммм........, незнаю, незнаю. По поводу открытого ПО: а представьте себе если виндовые коды откроют, сколько процентов виндов накроется? А знаете почему накрывается сейчас много? Код не хотят открывать, вот и ищут сами баги как стая дибилов. Так что по поводу "не пользуйтесь открытым ПО" байки лепить не надо. Кстати, о дыре в wu-ftpd - где её поюзать можно? Если не сложно, накатайте плзззззз на мыло:
mailto: administrator@mailru.com |
|
| Адреналин
19 Jan 2001 5:07 PM |
| 2 Вкуц: статистика, особенно относительная - вещь крайне лукавая. Те данные, что ты привед, НЕ ГОВОРЯТ РОВНО НИ О ЧЕМ, за исключением банальной как грабли вещи: ПО Майкрософт просто значительно более распространено. Только не пойте мне про доли рынка серверов у IDC и прочих - я корпоративное, коммерческое применение имею в виду, при этом на Интернет сервера мне плевать... не делают погоды с точки зрения бизнеса... да и там в коммерческих серверах преобладает Майкрософт, факт известный. Так что не надо тут ложных корреляций разводить.. кого больше трахают. Известно кого: более соблазнительных :-)))))))))) |
|
| Линуксоид - shooterrbcmail.ru
20 Jan 2001 7:10 PM |
Если сломали лентяя, не поставившего заплатки - то туда ему и дорога.
Не хочу, что бы меня считали распальцовщиком, но у меня вся интрасеть (9 узлов) раскиданная на расстояния от 30 до 200 км. под 6.2 шапкой плюс шлюз в инет и ничего пока. |
|
| Червь
20 Jan 2001 11:53 PM |
| Адресок подкинь. Рассмотрим. |
|
| KUK
22 Jan 2001 12:10 PM |
| 2 All: Что-то я давно не видел никакой инфы про то, что сломали какой-нить FreeBSD-шный сервак... Все о вломах про линух много пишут. А FreeBSD кто-нить сломал по крупному??? |
|
| Червь
22 Jan 2001 12:28 PM |
| BSD перешел в ранг серъезных систем и им пользуются уважающие СЕБЯ фирмы. А какая уважающая СЕБЯ фирма тебе признается!? Тем более за неразглашение ломари и деньжат срубить могут. |
|
| KUK
22 Jan 2001 12:39 PM |
2Червь: Прямо бальзам! Я тоже _ТОЛЬКО_
FreeBSD и ставлю и себе и знакомым.
Ни разу она меня за последние 5 лет не подвела! |
|
| Shadow
22 Jan 2001 3:33 PM |
Пок не подняли вой про дефейс freebsd.org - там скрипт кривой был.
|
|
| KUK
23 Jan 2001 3:07 AM |
| Сайт freebsd.org писали не заработчики FreeBSD |
|
| Червь
23 Jan 2001 11:00 AM |
| Если только разработчики могут все правильно настроить, тада капут! Ждите в гости. |
|
| Sholpan - zsholpanyandex.ru
29 Apr 2002 2:53 PM |
| Как защитить Linux сервер от вируса? |
|
|
