Все новости от 26 марта 2001 г.

Новый червь Lion точит Linux

Как сообщил в пятницу SANS Institute, червь Lion распространяется через приложение randb, заражая Linux-машины с версией 8 BIND DNS — одним из вариантов этого ПО, известных наличием нескольких «дыр» в защите. В поисках жертвы Lion сканирует случайно выбранные сети и проверяет порт TCP 53. Выявив уязвимую машину, он использует известную лазейку name и устанавливает rootkit t0rn, что позволяет атакующему навести хаос в атакуемой машине.

Затем червь выполняет несколько операций, в том числе передает файл паролей и некоторые сетевые параметры на почтовый адрес в домене chin.com, удаляет файл /etc/hosts.deny, устраняя пограничную защиту на хост-машине, устанавливает на два порта TCP backdoor root shells с «троянской» версией защитной оболочки, удаляет системный лог и пытается найти хешированный пароль. Завершив всю это работу, Lion заставляет пораженную машину прочесывать интернет в поисках других уязвимых серверов.

SANS разработал утилиту, которая обнаруживает (но не удаляет) червя.

Lion использует метод переполнения буфера сигнатур транзакций в BIND (Berkeley Internet Name Domain) версии 8 — одно из четырех слабых мест защиты, выявленных в ПО DNS с открытым исходным кодом в январе. Для всех этих лазеек имеются поправки.

Несмотря на серьезный разрушительный потенциал Linux-червя, его действия довольно заметны, что облегчает обнаружение. «Он ведет себя энергично и совершает множество действий, так что любой компетентный администратор должен его засечь», — говорит член группы X-Force компании Internet Security Systems Дэн Ингевалдсон (Dan Ingevaldson). По его словам, несмотря на то что пробелы в защите BIND широко известны и существуют исправленные версии ПО, многие сайты до сих пор не устранили проблему, так как для этого требуется отключение DNS на достаточно длительное время.

Обсуждение и комментарии

	me - userinternet.com 26 Mar 2001 2:03 PM
гы-гы:)) Лелеющие линукс - получите:))
	Egres 26 Mar 2001 2:35 PM
to ME: ну ты прям как ребенок... Обнови bind да фаервольчик прикрути вот и все проблемы.... я мог бы тоже сказать гы-гы на колиство троянов в виндах, а их просто в 100 если не в 1000 раз больше.
	Shadow 26 Mar 2001 2:58 PM
1. Я обновил bind через 2 дня после обнаружения дырок... Давно это было :))) 2. Как будто, bind только на Linux крутится... Он - везде... :))))))
	august 26 Mar 2001 2:58 PM
Ну что, начинается помаленьку...? Глядишь, скоро этого дерьма под линухом будет не меньше, чем под виндами. Интересно тогда будет почитать ваши обсуждения... ;))
	Zz 26 Mar 2001 3:13 PM
читать надо внимательно червь под BIND!!! а не под Linux!!
	august 26 Mar 2001 3:28 PM
Zz, ты сам читай внимательней: "червь Lion распространяется через приложение randb, заражая Linux-машины с версией 8 BIND DNS". Или всепоглащающая страсть к Linux'у глаза застилает?
	allex 26 Mar 2001 4:18 PM
Чем популярнее L, тем привлекательнее для вирусописателей, тем громче публичные скандалы, что опять-таки повышает привлекательность... Вот оно - бремя популярности!
	Вкуц 26 Mar 2001 5:56 PM
Ну что, Господа? Может хватит злорадствовать? Я не особый поклонник Пингвинукса, но проблема на самом деле не в выборе Оси, а в кретинах, которые пишут вирусы. Тут месяц назад прозвучала реплика (Кажется Скулл или Шэдоу, но не уверен) что под UNIX вирусы практически невозможны... Возможны они под всем, что в "розетку воткнуто". Любая тачка, с которой можно что то спереть, будет препарироваться ублюдками по полной программе :(((( А нормальным мужикам, кторые неважно на чем пишут (да хотя бы и на VB!!!) вместо вечных распрей надо бы организовать что то вроде сообщества и накатать "цербера" для того, что бы сечь трафик "вирусной активности"... Почему, если засранцы из Агенств по защите авторских прав отслеживают скачку МР3, никто не может ловить вирусописак???? Видимо просто в Агенстве ребяткам капает с этого, а в Опен Соурс - сообществе всем пофигу??? Или они заняты обругиванием виндов и обсуждением того, что "колиство троянов в виндах, а их просто в 100 если не в 1000 раз больше"????
	allex 26 Mar 2001 7:12 PM
Спор о том, чья OS толще - одна из питательных сред вирусного творчества: сколько приверженцев той или иной OS брались за дело, практически доказывая недостатки нелюбимой OS?
	Dmitry - dgzhmail.ru 26 Mar 2001 7:26 PM
Да че там говорить ... Вот, PDA начали распространяться - и тут же появились первые вирусы. То есть, как правильно тут сказали: "возможны они под всем, что в "розетку воткнуто"", а я добавлю: "и не только :)", ибо PDA и мобилки не воткнуты :)
	Qrot 26 Mar 2001 8:17 PM
по-моему, одним из лозунгов GNU является то, что доступный всем код более корректен и содержит меньше ошибок. Пока что на примере GNU/Linux этого не видно - время разработки ~8 лет (ну, примерно), а червячки и дыры все новые и новые... ИМХО, они так и будут появляться до скончания веков, пока вся эта гнусь не загнется.
	Skull - andrey_tigeri.am 27 Mar 2001 4:54 AM
2 Вкуц: я писал о том, что под Linux вирусов того вида, которые существуют под Windows - не будет. И имеет ли смысл называть вирусами червей? ИМХО, 2 разных биологических вида ;) Насчет того, что взломать можно любую машину - согласен, но сразу же встает вопрос качества администрирования и быстроты реакции на вторжение (добавлю - разгребание завалов). Кроме того, качество кода может быть гарантировано только АЛЬТЕРНАТИВОЙ. Увы, если для sendmail еще есть достойная альтернатива, для BIND ее, к сожалению, нет :( Недавно прочел, что производительность хакеров в 68(!) раз выше производительности легальных программистов. И что, ещё осталась мечта написать Цербера?? Вечно эти форточники велосипед изобретают! Kerberous - это разве не Цербер?
	Alm - almirk.ru 27 Mar 2001 7:21 AM
Народ тут видно виндузятный, агрессивный и туповатый. Зачем тут изрыгаться, если не особо понимаете о чем говорите (вирус под юних - придумали тоже). Червь появился - тоже мне новость. Ломают только тех у кого с мозгами и руками проблема. Заплатки к Bind уже несколько месяцов как вышли и если кто-то умудряется так долго тормозить - то это его проблемы, и операционная система здесь не причем. Дыры всегда были, есть и будут. Просто когда находят очередную дыру где-нибудь, Микрософт два-три месяца телится чтобы заплатку выпустить, а под open source апдейт в два-три дня появится - не поленись поставь только.
	eXOR 27 Mar 2001 7:38 AM
2 Alm: Согласен 2 All: 1) Червь не вирус (rtfm) 2) Вирус под юникс возможен (тут я со skull'ом не согласен) - проблема в том, что он имеет меньше шансов распространиться. 2 Qrot: Никто такого лозунга не двигал... (читайте классиков, а не желтую прессу), однако получается что тот код, что FSF он стабильнее... хз почему так. 2 ВКУЦ: Вирусописателей не надо наказывать. Чего они тебе лично сделали? Что они могут сделать такого, что ты не сможешь исправить, _имея_не_ _кривые_руки_? 2 august: rtfm
	NtAdm - ntadmeuro.ru 27 Mar 2001 9:19 AM
Чем флеймить, скажите лучше как это дело вылечить - у меня сервак заражен ;-(((
	2 NtAdm - almirk.ru 27 Mar 2001 10:02 AM
если тебя заломали, то никогда не знаешь насколько это далеко зашло - каких трянов тебе успели поставить, какие демоны заменили и т.д. Вообщем степень дырявости твоей машины вычислить сложно если ты не хранишь каких-нибудь контрольных сумм системных файлов. Самый надежный вариант это скопичить все нужные данные и переинстолить операционку - гиморно конечно, но 100% надежно. За апдейтами следить надо.
	Qrot 27 Mar 2001 10:30 AM
2eXOR: http://www.gnu.org/software/reliability.html - это желтая пресса или классики? и насчет стабильности кода именно у FSF я бы поспорил - ИМХО, код, в который хотя бы теретически могут вносить изменения все кому не лень не может быть стабильным
	Shadow 27 Mar 2001 11:04 AM
2Qrot: термины "Core developers" и "Stable" ещё никто не отменял.
	me - userinternet.com 27 Mar 2001 12:15 PM
Не понимаю, почему под юникс вирусы не возможны? Потому что очередному линуксятнику вздумалось сказать что-нить поперек остальных? Почему я не могу в исполняемый модуль вставить свои инструкции? Наверное потому, что скулл не смог себе представить, как можно получить список исполняемых файлов (в виндах это делается фильтром *.com, *.exe, *.dll и так далее, а в юнисках чуточку по-другому)... И кстати, о птичках... червь под линукс использует дыру в СИСТЕМЕ (ну ладно-ладно, в компоненте:)), а вот подавляющее большинство червей, вирусов и троянов под виндами использует дыру в мозгах пользователя. Есть разница, не правда ли? Алм, не мог бы ты привести конкретный пример, когда МС _задержалась_ с выпуском исправления к какой-либо ошибке? А то языком тут все умеют трепать...
	Billy 27 Mar 2001 12:41 PM
=============== код, в который хотя бы теретически могут вносить изменения все кому не лень не может быть стабильным =============== Глупости не надо говорить, да?
	Billy 27 Mar 2001 12:43 PM
==================== Почему я не могу в исполняемый модуль вставить свои инструкции? ==================== Глупости не надо говорить, да? ;-)))
	me - userinternet.com 27 Mar 2001 1:09 PM
Билли, ты дятел. Ты уж извини, но это так. Если не можешь ничего умного сказать, то сиди и молчи.
	Billy 27 Mar 2001 1:27 PM
================= . Если не можешь ничего умного сказать ================= Дак чего умного можно сказать на заведомую чушь? Или ты действительно не понимаешь "Почему я не могу в исполняемый модуль вставить свои _ЛЕВЫЕ_ инструкции?"
	Skull - andrey_tigeri.am 27 Mar 2001 2:17 PM
Я уже писал о том, что вирус (в понимании пользователей Windows) в Unix возможен. Но если тот же юзверь работает не под root - то максимум, на что способен данный вирус - стереть все данные пользователя. Ну хорошо, использует он root shell-так это уже недосмотр админа ;))
	Qrot 27 Mar 2001 3:50 PM
2Skull: под NT вирус будет работать по аккаунтом юзера - соответственно, будет та же ситуация что и под Unix. И не надо ля-ля :) 2Shadow: Core developers и Stable конечно хорошо (хотя не до конца ясно :), но чем это лучше коммерческого закрытого тестирования? Я ничего не слышал про тестеров у FSF например, а то, что разработчик не может тестить свой продукт еще в институте объясняют.
	Shadow 27 Mar 2001 3:55 PM
2me: Потому, что полномочия твоего кода в исполняемом модуле ограничены setrlimit(2). А система строится core team системы, людьми, простите, известными. И если скажут, что Theo de Radaat сделал backdoor, он умрёт нищим. Кроме того, ELF архитектура порядком отличается от той, что начинается с MZ :) Наиболее реальный способ внедрения вируса - это подмена shared library... Но, господа, вирус должен таскать с собой всё тело библиотеки! Ибо даже на libc6 GNU/Linux системах параметры сборки библиотек очень сильно отличаются, и физически они могут быть совсем разными!
	Shadow 27 Mar 2001 3:57 PM
2Qrot: Вопрос не в аккаунте юзера, а что из доступных юзеру ресурсов выполняется с высочайшими привилегиями... Отсюда мораль - на сервер NT4 не ставят драйвера видео кроме VGA16.
	Qrot 27 Mar 2001 4:09 PM
2Shadow: Вы похоже предлагаете мне ядро Linux в голом виде скачивать и ручками его ставить, а потом нужные утилиты отдельно качать и т.д. А это фактически означает сборку собственного дистрибутива этой ОС, что нормальному человеку сделать невозможно за отсутствием средств. Те же кто этим занимается по работе (RH, Mandrake etc) зачастую вносят множество изменений, что не всегда хорошо сказывается на сиситеме. Помню, как ядро у RH 5.2 не собиралось из-за синтаксических ошибок в исходниках
	Qrot 27 Mar 2001 4:48 PM
2Shadow: на сервера не ставят другие драйвера, потому что они там не нужны вообще-то! (хотя у нас стоит для ТНТ2, уж не знаю зачем:)и вопрос таки именно в аккаунте под которым исполняется вирус, именно это определяет привелегии доступных юзеру ресурсов и именно это определяет степень разрушений. А драйвера, кстати, выполняются в режиме ядра, куда вообще никакой юзер попасть не может. ЗЫ: сорри за запаздывающие ответы, отвлекают :)
	lelik - lelikscp.co.il 28 Mar 2001 3:48 AM
2me: Windows WinLogon backdoor. Detailed: Use AddAtom to set debug flag inside protected kernel memory, use debug privilegy to connect to Winlogon process and pass all Windows NT security. Na Microsoft poka v forume ne naehali s izlosheniem problemi - te i ne potshesalis, da i tshesalis potom mesiatsa 2-3. Pomnitsia iz-za etogo u nih para-troika natshalnikov poletela.
	eXOR 28 Mar 2001 8:02 AM
2 me: Чувак сломал NT машину через открытые shared ресурсы - это тоже компонент операционки? Или это к ОС вообще никак не относится? - попробуй ломануть linux сервер, через самбу... Если Билли и дятел, то ты точно страус. 2 Qrot: Именно! хотя - бы ядро точно надо пересобрать. Оптимальный вариант - сдалать свой дист, записать его на CD-R а потом ставить готовый и собраный на столько машин, на сколько надо. Дистрибутив, который приходит от оффициальных производителей обычно очень сильно отстает от того, что является актуальным на сегодняшний день. Оставлять на боевом сервере софт в том виде, в каком он пришел из диста - это достаточно большой риск (это одинаково важно как для MS Win NT, как для free *nix.) Ошибок в софте всегда будет достаточно - задча админа не дать им стать фатальными.
	Qrot 28 Mar 2001 10:34 AM
"Ошибок в софте всегда будет достаточно"-СОГЛАСЕН! Вопрос: как контора, которая в инет выходит по диалапу, сможет сделать свой дистрибутив? патчи скачивать возможно, но вот *все* необходимые для работы пакеты... это вряд ли! По поводу шаредов могу сказать, что ломали люди и Linux и FreeBSD через samba, да и я сам про дырень читал то ли на CERT.ru, то ли на SecurityFocus - ну не помню уже. Потом вопорос как сломал: ресурс был на запись расшарен или подбором пароля? если первое (и наиболее частое), то NT здесь не при чем абсолютно.
	me - userinternet.com 28 Mar 2001 12:28 PM
exor, если чувак открыл на чтение папку WINNT, то причем тут операционка? Или использовал пароль из трех букв в качестве админского, то кого винить? МС? Что за идиотская привычка... лелик, к сожалению, не интересуюсь миром юниксов, но было время, когда "открытое сообщество" тоже тормозило с выпуском патчей. Причем не к локальным бэкдорам, а вполне даже сетевым. Сейчас уже не помню, что у них так взглючило, но это было. Вообще, единственный пример не катит. У всех бывает в конце концов:)) Так мне кто-нибудь скажет, что помешает мне записать "jmp 0x10000000" в начало программы под системой, отличной от виндов? "RTFM" будет обозначать неспособность отвечающего сформлировать свою "правильную" мысль...
	Shadow 28 Mar 2001 4:32 PM
2me: Ничем не мешает, но прога будет вылетать с Seg Fault :-()
	me - userinternet.com 28 Mar 2001 7:27 PM
shadow, почему?
	Shadow 28 Mar 2001 8:55 PM
Шоб знала, куда jump!
	eXOR 29 Mar 2001 4:07 PM
2 me: Дыкть если чел не заапдейтил программу, которая не является частью ОС - каким боком тут ОС?
	Andrew Novikov - mymusukrpost.net 29 Jul 2001 10:13 PM
Не ну а почему все говорят что вирус поражает Линукс??? Дп не поражает он Линукс!!! Этот вирус поражает BIND - BUGGY Internet Name Daemon. Что в нем одни дыры - так это правда, и в 9 версии тоже! Ну что сложно снести этот Бинд напару с сэндмейлом и поставить, скажем, djbdns + qmail (нормальные админы это давно сделали). Тому кто обнаружит дыру в этих программах обещана круглая сумма.