Lion Worm

[chchang]

http://taiwan.cnet.com/briefs/news/a....html?rid=2002

看起來很恐怖 不過不知道國內有沒有案例..
不知道要怎麼查 :<

[winson]

2001/03/24: Alert: New worm "Lion"

<簡述>



Lion 是一支新的worm程式，它跟前陣子的Ramen很相似不過它比

Ramen還要來的危險的多影響也較為嚴重。這支程式透過BIND TSIG

的弱點來進行傳播的，此弱點請參閱本中心發佈的安全通報：

　

http://www.cert.org.tw/advisory/2001...A-2001-015.txt



目前影響的平台主要為 Linux 平台安裝有 BIND version(s) 8.2, 8.2-P1,

8.2.1以及8.2.2-Px的主機影響較大。

　

<描述>

　

跟Remen一樣，Lion也是由幾個程式及scripts組合而成，其中它會透

　　 過一個名叫randb的程式，它會掃瞄 Random B class 的網路來偵測tcp

port 53來檢查是否為有漏洞的BIND版本，在取得權限後它會在受害

　　 主機上植入t0rn rootkit後門程式。

　

　　 一旦它入侵了主機它會傳回主機上的/etc/passwd及/etc/shadow這兩個

　　 檔到某個特定domain的某個ip，並砍掉主機上etc/hosts.deny這個檔案，　

並在受害主機上開起60008及33567兩個TCP port以用來取得root shell，

　　 並在port 33568/tcp開起一個木馬版本的ssh服務，而且它會砍掉syslogd

這個process，所以系統的log可能不完整了。

　　

　　 而在Lion所植入的後門程式t0rn rootkit，它會把自己隱藏起來並置換

　　 好幾個系統上的程式，如下所列：

　

　　 置換的檔案：du , find , ifconfig , in.telnetd , in.fingerd , login ,

　　　　　　　　ls , mjy , netstat , ps , pstree , top 等檔案。



　　 增加的檔案：t0rn , tfn。

　

　 <檢測>



lionfind 由 Sans 所提供的Lion worm檢測工具。

　

　　 下載Lionfind檢測工具。　　



　　 參考網址:



http://www.sans.org/y2k/lion.htm Lion worm 　

http://www.cert.org.tw/data/DDoS.htm DDoS handling steps

　　 http://www.cert.org.tw/data/DDoS2.htm

http://www.cert.org.tw/advisory/2001...A-2001-015.txt Bind tsig



以上轉載自TWCERT