chchang
2001-03-28, 02:31 PM
http://taiwan.cnet.com/briefs/news/asia/2001/03/26/20010326g.html?rid=2002
看起來很恐怖 不過不知道國內有沒有案例..
不知道要怎麼查 :<
贊助商連結
看起來很恐怖 不過不知道國內有沒有案例..
不知道要怎麼查 :<
贊助商連結
贊助商連結 chchang 2001-03-28, 02:31 PM http://taiwan.cnet.com/briefs/news/asia/2001/03/26/20010326g.html?rid=2002 看起來很恐怖 不過不知道國內有沒有案例.. 不知道要怎麼查 :< 贊助商連結 winson 2001-03-28, 11:39 PM 2001/03/24: Alert: New worm "Lion" <簡述> Lion 是一支新的worm程式,它跟前陣子的Ramen很相似不過它比 Ramen還要來的危險的多影響也較為嚴重。這支程式透過BIND TSIG 的弱點來進行傳播的,此弱點請參閱本中心發佈的安全通報: http://www.cert.org.tw/advisory/200102/TW-CA-2001-015.txt 目前影響的平台主要為 Linux 平台安裝有 BIND version(s) 8.2, 8.2-P1, 8.2.1以及8.2.2-Px的主機影響較大。 <描述> 跟Remen一樣,Lion也是由幾個程式及scripts組合而成,其中它會透 過一個名叫randb的程式,它會掃瞄 Random B class 的網路來偵測tcp port 53來檢查是否為有漏洞的BIND版本,在取得權限後它會在受害 主機上植入t0rn rootkit後門程式。 一旦它入侵了主機它會傳回主機上的/etc/passwd及/etc/shadow這兩個 檔到某個特定domain的某個ip,並砍掉主機上etc/hosts.deny這個檔案, 並在受害主機上開起60008及33567兩個TCP port以用來取得root shell, 並在port 33568/tcp開起一個木馬版本的ssh服務,而且它會砍掉syslogd 這個process,所以系統的log可能不完整了。 而在Lion所植入的後門程式t0rn rootkit,它會把自己隱藏起來並置換 好幾個系統上的程式,如下所列: 置換的檔案:du , find , ifconfig , in.telnetd , in.fingerd , login , ls , mjy , netstat , ps , pstree , top 等檔案。 增加的檔案:t0rn , tfn。 <檢測> lionfind 由 Sans 所提供的Lion worm檢測工具。 下載Lionfind檢測工具。 參考網址: http://www.sans.org/y2k/lion.htm Lion worm http://www.cert.org.tw/data/DDoS.htm DDoS handling steps http://www.cert.org.tw/data/DDoS2.htm http://www.cert.org.tw/advisory/200102/TW-CA-2001-015.txt Bind tsig 以上轉載自TWCERT |
|