winson
2001-05-09, 10:25 PM
2001/05/09: sadmind/IIS Worm
<簡述>
sadmind/IIS wrom為近來發現透過Solaris系統以及IIS伺服器上,兩個著名的漏洞來攻擊系統以及置換網頁的攻擊程式。
<影響系統>
- 使用沒有安裝修正檔的IIS系統
- 使用沒有安裝修正檔的版本7以及以上的Solaris系統
<說明>
在一開始,此攻擊程式會先攻擊有漏洞的Solaris系統,然後在Solaris系統內安裝會主動攻擊微軟IIS網頁伺服器的程式。
此外這個攻擊程式也會自我發動去攻擊其它有漏洞的Solaris。
這個程式會在root使用者的home目錄裡的.rhosts檔案附加"+ +"這樣的文字。
最後,在攻擊了2千個IIS系統之後這個程式就會修改Solaris主機內的index.html。
為了攻擊Solaris系統,這個網蟲使用兩年前Solstic sadmind程式的一個舊緩衝區溢位漏洞。你可以在以下連結,得到更多這個舊漏洞的相關資訊。
http://www.cert.org.tw/advisory/199912/TW-CA-1999-175.txt
http://www.kb.cert.org/vuls/id/28934
http://www.cert.org/advisories/CA-1999-16.html
成功的入侵Solaris系統之後,這個worm會使用七個月前的舊漏洞來攻擊IIS系統。
你可以在以下連結,得到更多這個舊漏洞的相關資訊。
http://www.cert.org.tw/advisory/200010/TW-CA-2000-146.txt
http://www.kb.cert.org/vuls/id/111677
被這個worm成功入侵的系統會有以下的特徵:
-被入侵的Sloaris系統會有以下格式的系統log
May 7 02:40:01 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Bus Error - core dumped
May 7 02:40:01 carrier.domain.com last message repeated 1 time
May 7 02:40:03 carrier.domain.com last message repeated 1 time
May 7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May 7 02:40:03 carrier.domain.com last message repeated 1 time
May 7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May 7 02:40:08 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Hangup
May 7 02:40:08 carrier.domain.com last message repeated 1 time
May 7 02:44:14 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Killed
-rootshell會開啟port 600等待
-存在以下目錄
/dev/cub 存放被入侵系統的logs
/dev/cuc 存放worm用來運作和繁殖的工具
-worm會執行以下的script程序
/bin/sh /dev/cuc/sadmin.sh
/dev/cuc/grabbb -t 3 -a .yyyyyy -b .xxx.xxx 111
/dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80
/bin/sh /dev/cuc/uniattack.sh
/bin/sh /dev/cuc/time.sh
/usr/sbin/inetd -s /tmp/.f
/bin/sleep 300
被入侵的微軟IIS伺服器會有以下特徵:
-修改網頁呈現以下字眼
fuck USA Government
fuck PoizonBOx
contact:[email protected]
-被入侵的IIS伺服器會有以下形式的log
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe 502 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
GET /scripts/root.exe /c+echo+<HTML code inserted here>.././index.asp 502 -
<修正方式>
- 安裝修正檔
可以在以下微軟網址取得修正檔
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
For IIS Version 4:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
For IIS Version 5:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
也可以在以下網址取得更多IIS網站伺服器相關的安全資訊
http://www.microsoft.com/technet/security/iis5chk.asp
http://www.microsoft.com/technet/security/tools.asp
從SUN安全討論版 #00191更新Sun Microsystems修正檔:
http://sunsolve.sun.com/pub-cgi/retrieve.pl? doctype=coll&doc=secbull/191&type=0&nav=sec.sba
贊助商連結
<簡述>
sadmind/IIS wrom為近來發現透過Solaris系統以及IIS伺服器上,兩個著名的漏洞來攻擊系統以及置換網頁的攻擊程式。
<影響系統>
- 使用沒有安裝修正檔的IIS系統
- 使用沒有安裝修正檔的版本7以及以上的Solaris系統
<說明>
在一開始,此攻擊程式會先攻擊有漏洞的Solaris系統,然後在Solaris系統內安裝會主動攻擊微軟IIS網頁伺服器的程式。
此外這個攻擊程式也會自我發動去攻擊其它有漏洞的Solaris。
這個程式會在root使用者的home目錄裡的.rhosts檔案附加"+ +"這樣的文字。
最後,在攻擊了2千個IIS系統之後這個程式就會修改Solaris主機內的index.html。
為了攻擊Solaris系統,這個網蟲使用兩年前Solstic sadmind程式的一個舊緩衝區溢位漏洞。你可以在以下連結,得到更多這個舊漏洞的相關資訊。
http://www.cert.org.tw/advisory/199912/TW-CA-1999-175.txt
http://www.kb.cert.org/vuls/id/28934
http://www.cert.org/advisories/CA-1999-16.html
成功的入侵Solaris系統之後,這個worm會使用七個月前的舊漏洞來攻擊IIS系統。
你可以在以下連結,得到更多這個舊漏洞的相關資訊。
http://www.cert.org.tw/advisory/200010/TW-CA-2000-146.txt
http://www.kb.cert.org/vuls/id/111677
被這個worm成功入侵的系統會有以下的特徵:
-被入侵的Sloaris系統會有以下格式的系統log
May 7 02:40:01 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Bus Error - core dumped
May 7 02:40:01 carrier.domain.com last message repeated 1 time
May 7 02:40:03 carrier.domain.com last message repeated 1 time
May 7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May 7 02:40:03 carrier.domain.com last message repeated 1 time
May 7 02:40:06 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May 7 02:40:08 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Hangup
May 7 02:40:08 carrier.domain.com last message repeated 1 time
May 7 02:44:14 carrier.domain.com inetd[139]: /usr/sbin/sadmind: Killed
-rootshell會開啟port 600等待
-存在以下目錄
/dev/cub 存放被入侵系統的logs
/dev/cuc 存放worm用來運作和繁殖的工具
-worm會執行以下的script程序
/bin/sh /dev/cuc/sadmin.sh
/dev/cuc/grabbb -t 3 -a .yyyyyy -b .xxx.xxx 111
/dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80
/bin/sh /dev/cuc/uniattack.sh
/bin/sh /dev/cuc/time.sh
/usr/sbin/inetd -s /tmp/.f
/bin/sleep 300
被入侵的微軟IIS伺服器會有以下特徵:
-修改網頁呈現以下字眼
fuck USA Government
fuck PoizonBOx
contact:[email protected]
-被入侵的IIS伺服器會有以下形式的log
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe 502 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
GET /scripts/root.exe /c+echo+<HTML code inserted here>.././index.asp 502 -
<修正方式>
- 安裝修正檔
可以在以下微軟網址取得修正檔
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
For IIS Version 4:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
For IIS Version 5:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
也可以在以下網址取得更多IIS網站伺服器相關的安全資訊
http://www.microsoft.com/technet/security/iis5chk.asp
http://www.microsoft.com/technet/security/tools.asp
從SUN安全討論版 #00191更新Sun Microsystems修正檔:
http://sunsolve.sun.com/pub-cgi/retrieve.pl? doctype=coll&doc=secbull/191&type=0&nav=sec.sba
贊助商連結