Adore — новый Linux-червь

Червь, получивший название Adore, создает так называемый «черный ход» в защите Linux-систем и отправляет информацию о них по четырем разным e-mail адресам в Китае и США.

«Похоже, это вариант вируса Ramen», — говорит администратор сетевой защиты Вашингтонского университета Дэвид Дитрих (David Dittrich). Червь Ramen, использующий три известные лазейки в дистрибутиве Red Hat Linux, появился в середине января и заразил некоторое число компьютеров. В прошлом месяце организация Systems Administration Networking and Security Institute (SANS) обнаружила червь 1i0n, использующий четвертую лазейку — в программе сервера доменных имен DNS.

Червь Adore, называемый также «красным червем», использует все четыре лазейки для автоматического внедрения в уязвимые системы. Несмотря на существование поправок, большинство администраторов так и не обновили свое ПО. «Три из четырех этих дыр были исправлены еще в августе, — говорит представитель Аналитического центра глобальных инцидентов SANS Мэтт Фирноу (Matt Fearnow). — Мы можем лишь призвать системных администраторов привести свои системы в порядок».

Оказавшись в системе, червь Adore подменяет программу PS, которую администраторы используют для отображения списка действующих программ, копией, отображающей все программы, кроме червя. Затем он отправляет копии нескольких важных системных файлов по четырем e-mail адресам: двум в США и двум в Китае. Каждое письмо использует имя пользователя adore9000 или adore9001, поэтому червь так и называется.

SANS выпустила программу adorefind, обнаруживающую наличие червя в системе. Похоже, он распространяется довольно быстро, сканируя серверы на наличие внешних признаков неисправленных программ. В рассылке Bugtraq, которую модерирует SecurityFocus.com, несколько администраторов высказали подозрение на то, что их системы активно сканируются. «Многие сообщают об интенсивном сканировании... из множества разных узлов», — пишет один из них. Другой обнаружил червь на одной из своих машин Red Hat Linux 6.2.

Онлайновые вандалы, выпустившие червь, похоже, используют его для мобилизации в своих целях большого числа систем. Кроме всего прочего, червь подменяет базовый интернет-сервис ICMP (Internet Control Message Protocol) почти идентичной версией, которая, получая команду через интернет, открывает черный ход — в обход защиты. Обычно ICMP используется для передачи информации об ошибках от машине к машине. Заразив компьютер и отправив информацию о нем по e-mail, червь выжидает до 4:02 утра, а затем удаляет все свои файлы, за исключением черного хода.

Обсуждение и комментарии

	A 5 Apr 2001 1:18 PM
Похоже Windows больше не прильщает даже вирусописателей ,-)))

	Stek 5 Apr 2001 2:13 PM
Блин, ну сколько можно... нашли дыру в BIND - начали орать про линукс (он то при чем ?). Закрыли дыру. Через месяц кто-то написал приблуду для автоматизации юзания этой дыры - снова начались вопли ... и так до бесконечности :) Да ну ладно, надо о чем-то новости публиковать, хоть и прокисшие :)

	Вкуц 5 Apr 2001 2:48 PM
2 Stek Сколько можно? Да столько , сколько ЭТО будет продолжаться! Линукс тут так же причем, как и дыры в Аутлуке в виндах. Хотя я лично считаю, что тут можно только посочуствовать и пожелать удачи Open-Сорц сообществу. :( Хотелось бы надеяться, что их минует чаша сия, но, похоже идиотов и среди любителей Линукса предостаточно. Беда, на мой взгляд вот в чем (поравьте, если не прав): 1. Опен Сорц по своей природе гораздо более способствует тому, что бы вирь подменяла "родные" сервисы Линукса РАБОТОСПОСОБНЫМИ копиями со зловредным кодом. Заплаты тут могут не помогать. На примере виндов хорошо видно, что дыры находятся быстрее, чем их заделывают. 2. Беда еще в том, что в отличии от "потребительской" Винды Линукс таки сложнее для обслуживания простым юзером. Поэтому небольшие фирмы предпочитают НЕ ИМЕТЬ В ШТАТЕ линуксоида, а приглашать его время от времени. Если иметь постоянного сотрудника, то цена владения возрастает настолько, что нивелируются преимущества Линукса, как бесплатной системы. Понятно, что в этом случае исправления будут установлены с большим опазданием. 3. Неплохо бы помог в этом случае сервис, отслеживающий изменения в критичных местах. Если Вирь что то подменяет, то он мог бы дать тревогу "Поставь заплату" или заблокировать "подозрительный" процесс. Впрочем, такую феню тоже можно обмануть :(((( По моему так... Не являюсь большим фэном Линукса (W2K мне более по душе), но хочу искренне пожелать удачи линуксоидам и таки сделать пингвинукса менее уязвимым к вирусной дряни... Благо предпосылки для этого есть...

	MillkyWay - skyhuntermail.ru 5 Apr 2001 4:01 PM
>>>>Неплохо бы помог в этом случае сервис, отслеживающий изменения в критичных местах. Таких утилит просто валом.. и у нормального админа они ДОЛЖНЫ стоять... так что дело не только в Линуксе или дырявых сервисах... есть еще и дыряве руки.. или головы... кому как больше нравится.

	allex 5 Apr 2001 7:03 PM
Глубокоуважаемый Вкуц! Бьете в самое слабое место: кому платить - adminu или MS...

	dimav 5 Apr 2001 7:17 PM
Админ на linux может быть и удаленным, а "3. Неплохо бы помог в этом случае сервис, отслеживающий изменения в критичных местах" это есть. Опять же есть всякие простые методы типа монтирования критичных вещей /root,/bin/usr/bin в root с запретом на перемонтирование _без_ перезагрузки , установка битов запрета записи (и для root тоже если я не ошибаюсь)

	Вкуц 5 Apr 2001 9:15 PM
2 MillkyWay allex dimav Ребята, давайте поправимся: Не должны, а должны БЫ стоять... :))) И не путайте Россию с остальным миром... Для Винды тоже есть и мониторы и запрет записи и восстановление критичных приложений... И даже вон теперь есть (хи-хи) автопришиватель заплаток. ТОлько вот вирь на месте тоже не стоит :( Да и помимо "умных и не кривых" ручек есть еще ленивые задницы. Я так подозреваю, что большая часть заплаток не ставится не по причине кривых рук а из-за тупой непроходимой лени сисадминов. Забавно, вот насчет того что ОпенСорц дает козыри в написании всякой фигни ну никто не возразил. А вот насчет того, кому платить, Админу или МС... Ну что тут скажешь, Большинству начальства ну просто наплевать, кому платить... Кроме того с фирмой считается солиднее дело иметь чем с "хакирями всякими"... Смеюсь, у нас на работе человека, кто знает на какую кнопку нажать при появлении системного сообщения типа (да,нет, отмена) считают чуть не хакером :(((( А вы тут развели "должны стоять, кривые ручки и так далее..."

	Алексей - aa.a 6 Apr 2001 11:56 AM
Ну насчет стоимости владения, то тут есть один момент. Стоимость сопровождения во много раз превышает стоимость самой системы. В целом сопровождение Линуксовых систем обходится дороже, чем Виндоус (хотя бы потому, что надо содержать специальный штат и - удивительно, но факт - платить зарплату, а в большинстве развитых стран это означает порядка 50000 баксов ежегодно и каждому из спецов). Да опять же вот зашел я на сайт Red Hat и посмотрел на то, почем они распространяют коробочные Линукс. Ну я бы не сказал, что это хоть сколько-нибудь бесплатно (до 2000 баксов за коробочку), а компании с большой вероятностью будут закупать из "надежных" источников как Red Hat. Я правда не говорю об огромном множестве бедных компаний в России. Ну они и некогда не правили на рынке. Так что в целом Линукс далеко не бесплатен и, я подозреваю, что в конце концов даже и дороже обойдется. Хотя низкая величина первоначальных затрат может и привлекать (мол, потом и деньги будут). Есть правда еще один плюсик у Линукса - бесплатного корпоративного ПО для него доступно гораздо больше, чем для Виндоус, однако проблема та же - сопровождение серьезных продуктов (как Oracle) все равно выльется в копеечку. Говорят же, что бесплатный сыр бывает только в мышыловке. В смысле сопроводительных затрат Линукс и есть мышеловка.

	Shadow 6 Apr 2001 12:20 PM
2Алексей: Можно поспорить вплоть до бизнес-технологии "оффшорного программирования". Затраты на поодержание NT IMHO не меньше - знаем, поддерживали... Правда, сетка только из пары сотен компов... Кстати, с Linux другая беда - в самый интересный момент обнаруживаешь недостатки реализации, например, свопа... Так что, самый дешёвый вариант обслуживания - FreeBSD. Тут главное иметь приматовское образование и знать технический английский.

	E 6 Apr 2001 6:24 PM
2Алексей А что, стоимость сопровождения "серьезных продуктов (как Oracle)" сильно отличается в Linux от Win для одинаковых продуктов?! :))

	eXOR 7 Apr 2001 7:11 AM
Странные вы какие - то ... админу(ам) NT платить за работу не надо? Они что все альтруисты такие? Хороший админ сможет у вас держать и NT, и Linuxm, и FreeBSD, и любой другой (не)коммерческий unix да и вообще ему это по - барабану. А если хотите съэкономить на админе - получите пионера/дятла который положит ваши сервера под первого флудера/спамера итд. Хотите съэкономить на админе... рали бога экономте... только тогда пословицу про сыр не вспоминайте...

	Skull - andrey_tigeri.am 7 Apr 2001 7:31 AM
2 Алексей: не знаю, у кого как, только почему-то один админ может поддерживать Linux в нескольких конторах (часто - удаленно). С NT такая фигня не проходит. К тому же моя практика показала, что администрить Oracle на Linux проще - имеешь всю картину и работает он быстрее. Так что вопрос цены поддержки - спорен и зависит от конкретной ситуации и образования админа.

	KUK - kukirk.ru 7 Apr 2001 8:24 AM
А по моему, если серьезно работать, то лучше на FreeBSD. Что-то я давно про него никаких плохих отзывов не слышал. В отличие от люникса - реализация софта приближается к идеальной.

	Skull - andrey_tigeri.am 8 Apr 2001 7:10 AM
2 KUK: смотря для каких целей... Ведь под устаревшую BSD нет ни Oracle ни Lotus Notes. Согласен, для обычного интернет-сервера она просто идеально подходит, только вот собственными глазами видел её BIND, упавший по неизвестным причинам в core :)

	Pip - pip2000softhome.net 8 Apr 2001 2:43 PM
А все кричали, что Линолеум неприступен для вирусов!!?!? Отстой все эти Линуксы! Толком не работают, приложений под них нету. Даже БДшки вести как следует не могут - а еще вопят "ОС для Серверов" Отстой это все. Вынь МЕ и Вынь2000. Так было, есть и будет, пока приложения пишутся под Майкрософт!

	Chkalofff 8 Apr 2001 8:25 PM
2 Skull: >не знаю, у кого как, только почему-то >один админ может поддерживать Linux в нескольких >конторах (часто - удаленно). С NT такая фигня не >проходит. Это почему не проходит? Вот у нас удаленно 5 серверов в америке администрируется под w2k и нормально. Ты аргументируй свои выскзывания, please. Есть тунели ipsec, pptp, l2tp. Есть терминальный сервис. Есть телнет сервис. Есть ADSI, WSH, WMI наконец. Где проблемы в удаленном администрировании?

	eXOR 8 Apr 2001 8:27 PM
2 Pip: Тебе лечиться надо ;-))...

	Shadow 8 Apr 2001 10:04 PM
2Skull: А ты сорцы kernel'a FreeBSD и Linux смотрел???? Вот посмотри, а потом говори, что устарело, а что - on the edge.

	Yuri Abele 9 Apr 2001 11:14 AM
а FreeBSD купила Wind River Systems :-)

	Yuri Abele 9 Apr 2001 11:15 AM
http://zdnet.ru/news.asp?ID=2390

	Skull - andrey_tigeri.am 9 Apr 2001 11:15 AM
2 Shadow: может, ядро у BSD и правильнее, только что с этого толку, если софта нет? И BSD-ёвый named в core валится... Так что ядро - это ещё не всё! 2 Chkalofff: может у вас и есть деньги на мощные сервера под W2K, однако я не могу то же самое сказать про российские небольшие фирмы. Увы, они не смогут оценить всей прелести этой супер-ОС!

	Shadow 9 Apr 2001 11:44 AM
:-() Нет слов... named валится после версии 8.2.3, если ему не принадлежат его файлы. А какого вам софта под BSD не хватает? (я, как говорится, от последней реплики "выпал в осадок" и сильно офигел....)

	Антон Блинков - bavinfopac.ru 9 Apr 2001 2:44 PM
2Shadow ну FreeBSD тож не идеал - намедни pgsql выжрал весь своп (кстати :)), после чего фря 4.2 перешла в состояние ступора и медлено и печально стала убивать процессы, и еще более медлено и печально отвечать на ввод с локальной консоли. вообчем пришлось питание вырубать...

	eXOR 9 Apr 2001 7:16 PM
Нет фряха для админа просто рай... а вот дома мне сидеть нравится больше под линуксом... я его знаю лучше.. да и все - таки программы чаще под линуксом работают, чем под фрей... да и сносить его не охота - ибо зачем? работает? - работает! стабильно? месяц без выключения и перезагрузки... чего еще надо? Софт весь нужный мне на нем есть.. могу к нему по ssh подцепиться с работы и чего - нить качаться поставить или почту там почитать... работает себе и хорошо...

	Chkalofff 9 Apr 2001 7:21 PM
2 Skull: Да нет, сервера совершенно обычные. Даже не много процессорные. Я не думаю, что сервера под Windows2000 более дорогие, чем под линукс. А что касается удаленного администрирования, то в w2k есть все средства, для того, тобы это делать не напряжно, быстро и секьюрно.

	Skull - andrey_tigeri.am 10 Apr 2001 1:26 PM
2 Shadow: я уже говорил - Lotus Domino и Oracle Database Server. Увы, мир не ограничивается одим web-сервером и Perl ;) 2 Chkalofff: знаю, что есть такие средства, потому и приветствую!

← март 2001

2 3 4 5 6 9 10 11 12

май 2001 →