[新聞]新聞快報--sadmind/IIS Worm

[winson]

2001/05/09: sadmind/IIS Worm

<簡述>

sadmind/IIS wrom為近來發現透過Solaris系統以及IIS伺服器上，兩個著名的漏洞來攻擊系統以及置換網頁的攻擊程式。

<影響系統>

- 使用沒有安裝修正檔的IIS系統

- 使用沒有安裝修正檔的版本7以及以上的Solaris系統

<說明>

在一開始，此攻擊程式會先攻擊有漏洞的Solaris系統，然後在Solaris系統內安裝會主動攻擊微軟IIS網頁伺服器的程式。

此外這個攻擊程式也會自我發動去攻擊其它有漏洞的Solaris。

這個程式會在root使用者的home目錄裡的.rhosts檔案附加"+ +"這樣的文字。

最後，在攻擊了2千個IIS系統之後這個程式就會修改Solaris主機內的index.html。

為了攻擊Solaris系統，這個網蟲使用兩年前Solstic sadmind程式的一個舊緩衝區溢位漏洞。你可以在以下連結，得到更多這個舊漏洞的相關資訊。

http://www.cert.org.tw/advisory/1999...A-1999-175.txt

http://www.kb.cert.org/vuls/id/28934

http://www.cert.org/advisories/CA-1999-16.html

成功的入侵Solaris系統之後，這個worm會使用七個月前的舊漏洞來攻擊IIS系統。

你可以在以下連結，得到更多這個舊漏洞的相關資訊。

http://www.cert.org.tw/advisory/2000...A-2000-146.txt

http://www.kb.cert.org/vuls/id/111677

被這個worm成功入侵的系統會有以下的特徵:

-被入侵的Sloaris系統會有以下格式的系統log

May 7 02:40:01 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Bus Error - core dumped

May 7 02:40:01 carrier.domain.com last message repeated 1 time

May 7 02:40:03 carrier.domain.com last message repeated 1 time

May 7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped

May 7 02:40:03 carrier.domain.com last message repeated 1 time

May 7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped

May 7 02:40:08 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Hangup

May 7 02:40:08 carrier.domain.com last message repeated 1 time

May 7 02:44:14 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Killed

-rootshell會開啟port 600等待

-存在以下目錄

/dev/cub 存放被入侵系統的logs

/dev/cuc 存放worm用來運作和繁殖的工具

-worm會執行以下的script程序

/bin/sh /dev/cuc/sadmin.sh

/dev/cuc/grabbb -t 3 -a .yyyyyy -b .xxx.xxx 111

/dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80

/bin/sh /dev/cuc/uniattack.sh

/bin/sh /dev/cuc/time.sh

/usr/sbin/inetd -s /tmp/.f

/bin/sleep 300

被入侵的微軟IIS伺服器會有以下特徵:

-修改網頁呈現以下字眼

fuck USA Government

fuck PoizonBOx

contact:[email protected]

-被入侵的IIS伺服器會有以下形式的log

2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 -

2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 -

2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \

GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe 502 -

2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \

GET /scripts/root.exe /c+echo+<HTML code inserted here>.././index.asp 502 -

<修正方式>

- 安裝修正檔

可以在以下微軟網址取得修正檔

http://www.microsoft.com/technet/sec...n/MS00-078.asp

For IIS Version 4:

http://www.microsoft.com/ntserver/nt...62/default.asp

For IIS Version 5:

http://www.microsoft.com/windows2000...62/default.asp

也可以在以下網址取得更多IIS網站伺服器相關的安全資訊

http://www.microsoft.com/technet/security/iis5chk.asp

http://www.microsoft.com/technet/security/tools.asp

從SUN安全討論版 #00191更新Sun Microsystems修正檔:

http://sunsolve.sun.com/pub-cgi/retrieve.pl? doctype=coll&doc=secbull/191&type=0&nav=sec.sba

[寶寶]

WINSON兄動作真快..
台灣電腦網路危機處理中心當天公布的你就看到了..

不過..我看了之後有點問題內..

[問]下載完修正檔並且安裝它之後，我之前的漏洞就補好了嗎?
那是不是我就不會再遭相同的方式入侵了??因為覺得按幾下就結束了，心裡覺得怪怪的內.

Norton Internet Security真難搞..因為有點趕..
先下載修正檔補一下~~再慢慢玩Norton Internet Security

[winson]

原始作者是 : 寶寶
WINSON兄動作真快..
台灣電腦網路危機處理中心當天公布的你就看到了..

不過..我看了之後有點問題內..

[問]下載完修正檔並且安裝它之後，我之前的漏洞就補好了嗎?
那是不是我就不會再遭相同的方式入侵了??因為覺得按幾下就結束了，心裡覺得怪怪的內.

Norton Internet Security真難搞..因為有點趕..
先下載修正檔補一下~~再慢慢玩Norton Internet Security

我想你應該只能相信他吧
還是你要那隻病毒自己來試試看~~
我可以幫你去找
上次有看到(大陸的這種網站很多)

NS~~我覺得很簡單說~~
給她全部自動化學習就夠了
以後碰到有問題的~~刪除規則後~~就可以再重新學習

有什麼問題的話~~可以提出來~~讓大家來動動腦筋

[ropin]

請問一下，這個病毒小弟用 Norton 06/19 病毒定義檔找不到，
但是用 Pc-cliiine 就有發現，無法清除。

請問是修正檔安裝後就好了嗎？還是必須先清除病毒？
或是無法刪除病毒？
謝謝您。