Content-Type: message/rfc822; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit Date: Wed, 28 Mar 2001 01:29:11 +0400 From: Vsevolod_Lutovinov@p20.f69.n5020.z2.fidonet.org (Vsevolod Lutovinov) Subject: Hовости drweb.ru Newsgroups: ru.unix X-Comment-To: (All) Organization: [ http://www.drweb.ru/linux-bsd/ ] Linux.Lion Очень опасный интернет-червь. Подобно вирусу Linux.Ramen атакует серверы с установленной операционной системной Linux, хотя применяемые вирусом алгоритмы при минимальной модификации работоспособны также и на многих вариантах Unix. Вирус представляет собой набор скриптов (shell scripts), модулей на языке Perl и исполняемых файлов Linux. Для проникновения на удаленную систему червь использует переполнение буфера в сигнатуре транзакции (TSIG) сервера доменных имен BIND (BIND DNS Server) версий 8.2, 8.2-Px, 8.2.3-beta. Данная уязвимость была обнаружена только в конце января 2001 года, что делает этот вирус особенно опасным, так как существует вероятность, что системные администраторы еще не успели установить соответствующие "заплатки" (patches) для устранения этой уязвимости (подробнее об этой уязвимости можно узнать на http://www.kb.cert.org/vuls/id/196945). Так как приложение BIND обычно выполняется с привелегиями суперпользователя (root), то после проникновения в систему вирус запускается с соответствующими правами и получает неограниченный доступ к ее ресурсам. Вирус состоит из двух частей: 1. Hепосредственно вирусная часть, занимающаяся проникновением на удаленные системы и размножением. 2. Hабор утилит, используемый для внедрения в систему для ее последующего несанкционированного использования автором вируса, а также сокрытия следов взлома и присутствия вируса в системе, так называемый T0rn Rootkit. Первая часть находится в каталоге /scan и состоит из следующих файлов: bind, pscan, randb, 1i0n.sh, bindx.sh, hack.sh, scan.sh, star.sh Вторая часть - в каталоге /lib и, соответственно: 1i0n.sh, du, find, getip.sh, ifconfig, in.fingerd, in.telnetd, login, ls, mjy, name, netstat, pg, ps, pstree, ssh.tgz, sush, sz, t0rnp, t0rns t0rnsb, tfn, top При запуске в системе вирус последовательно запускает в фоновом режиме первую и вторую часть. Первая часть прописывает вызов своего стартового скрипта в файл /etc/rc.d/rc.sysinit, чтобы инициализироваться при каждой перезагрузке системы. Затем, используя модуль randb, получает случайный адрес подсети класса "B" и, используя модуль pscan, сканирует хосты в указанной подсети с открытым портом 53 (DNS service). Список найденных хостов записывается в файл bindname.log. Далее для каждого хоста из этого списка вызывается вирусный модуль bind, который пытается осуществить атаку на данный хост, используя вышеописанную уязвимость, инициализировать на удаленной системе сессию shell и запустить вирусный скрипт, который: - устанавливает через регистрацию в конфигурационном файле /etc/inetd.conf возможность беспарольного удаленного доступа к командному интерпретатору (shell) взломанной системы через tcp-порт 1008 - высылает на адрес 1i0nip@china.com информацию о системе, а также информацию о пользователях, зарегистрированных в системе и их паролях из файлов /etc/passwd, /etc/shadow - удаляет файл истории команд командного интерпретатора bash /.bash_history - посредством текстового браузера lynx скачать с сайта http://coollion.51.net файл crew.tgz, содержащий упакованный код вируса, распаковать его содержимое в каталог /dev/.lib и запустить копию вируса на выполнение. Вторая часть, будучи инициализированной одновременно с первой: - завершает системный процесс syslogd. Таким образом, записи обо всех последующие действия вируса не попадут в системный журнал - устанавливает через регистрацию в конфигурационном файле /etc/inetd.conf возможность беспарольного удаленного доступа к командному интерпретатору (shell) взломанной системы через tcp-порты 60008 и 33567 - создает каталоги: /usr/man/man1/man1/ /usr/man/man1/man1/lib/ /usr/man/man1/man1/lib/.lib/ /usr/man/man1/man1/lib/.lib/.backup/ /usr/src/.puta/ /usr/info/.t0rn/ - копирует командный интерпретатор sh в /usr/man/man1/man1/lib/.lib/.x, устанавливает ему права владельца root и бит suid, таким обазом, данная копия командного интепретатора будет всегда запускаться с привилегиями администратора - копирует файлы in.telnetd и mji в /bin и /usr/man/man1/man1/lib/.lib модуль mji используется для последующей очистки файла системного журнала файл in.telnetd является троянской версией telnet сервера - переносит модуль /usr/sbin/nscd (Name Caching Service daemon) в /usr/info/.t0rn/sharsed, замещает его на собственный клиент Secure Shell (ssh) устанавливает возможность удаленного доступа к собственному ssh-клиенту через tcp-порт 33568 - прописывает вызов своих модулей /usr/sbin/nscd -q /bin/in.telnetd в файл /etc/rc.d/rc.sysinit - таким образом данные вирусные компоненты будут запущены и после перезагрузки системы - замещает системные модули /usr/sbin/in.fingerd /bin/ps /sbin/ifconfig /usr/bin/du /bin/netstat /usr/bin/top /bin/ls /usr/bin/find на вирусные аналоги, скрывающие работу вируса в системе - разрешает путем модификации файла /etc/inetd.conf выполнение серверов finger и telnet - удаляет файлы истории команд командного интерпретатора /.bash_history и /root/.bash_history, обнуляет файлы журналов /var/log/messages, /var/log/maillog Таким образом, система становится полностью открыта для несанкционированного доступа. - --------------- -- Bye.Olli. mailto(remove "NOSPAM"): olli@digger.NOSPAMorg.ru *: ".. От большого ума - лишь сума, да тюрьма.." Янка Дягилева