2001/03/24: Alert: New worm "Lion"
<簡述>
Lion 是一支新的worm程式,它跟前陣子的Ramen很相似不過它比
Ramen還要來的危險的多影響也較為嚴重。這支程式透過BIND TSIG
的弱點來進行傳播的,此弱點請參閱本中心發佈的安全通報:
http://www.cert.org.tw/advisory/2001...A-2001-015.txt
目前影響的平台主要為 Linux 平台安裝有 BIND version(s) 8.2, 8.2-P1,
8.2.1以及8.2.2-Px的主機影響較大。
<描述>
跟Remen一樣,Lion也是由幾個程式及scripts組合而成,其中它會透
過一個名叫randb的程式,它會掃瞄 Random B class 的網路來偵測tcp
port 53來檢查是否為有漏洞的BIND版本,在取得權限後它會在受害
主機上植入t0rn rootkit後門程式。
一旦它入侵了主機它會傳回主機上的/etc/passwd及/etc/shadow這兩個
檔到某個特定domain的某個ip,並砍掉主機上etc/hosts.deny這個檔案,
並在受害主機上開起60008及33567兩個TCP port以用來取得root shell,
並在port 33568/tcp開起一個木馬版本的ssh服務,而且它會砍掉syslogd
這個process,所以系統的log可能不完整了。
而在Lion所植入的後門程式t0rn rootkit,它會把自己隱藏起來並置換
好幾個系統上的程式,如下所列:
置換的檔案:du , find , ifconfig , in.telnetd , in.fingerd , login ,
ls , mjy , netstat , ps , pstree , top 等檔案。
增加的檔案:t0rn , tfn。
<檢測>
lionfind 由 Sans 所提供的Lion worm檢測工具。
下載Lionfind檢測工具。
參考網址:
http://www.sans.org/y2k/lion.htm Lion worm
http://www.cert.org.tw/data/DDoS.htm DDoS handling steps
http://www.cert.org.tw/data/DDoS2.htm
http://www.cert.org.tw/advisory/2001...A-2001-015.txt Bind tsig
以上轉載自TWCERT
書籤