Linux体系中呈现了一种称之为Ramen的蠕虫程序。它或许会侵略数千台运转RedHat 6.2/7.0 操作体系的服务器。Ramen运用了两个已知的Linux安全缝隙。它首要运用 RPC.statd 和 wu-FTP 的缝隙扫描网络上运用 RedHat 6.2/7.0 的服务器,然后测验获得体系权限,一旦获得之后,会将一些一般的体系服务加以替换,而且将一个称之为“root kit”的程序码植入安全缝隙中,此外 Ramen 还会将站点上的主页给换成 :“RameNCrew–Hackers looooooooooooove noodles”的字样。最终,Ramen会寄两封信给两个电子信箱,而且开端侵略其他的RedHat服务器。
Ramen只针对RedHat来进行侵入,不过危害不大,可是传达的速度却惊人,15分钟内能够扫描约 130,000 个站点。
Ramen是很仁慈的,在进犯完结后会主动把它进犯的3个缝隙给修补上(Redhat 6.2的rpc.statd、wu-ftpd,Redhat7.0的lpd),可是会在体系上起一个进程扫描下面的机器,会占去很多网络带宽。由此或许形成其他的主机的误解以及很多占用网络带宽,使体系瘫痪。
咱们能够看出,该程序其实并不能称为病毒,而是一个运用了安全缝隙的相似蠕虫的程序。该程序的作者Randy Barrett也站出来声明说,这仅仅一个安全缝隙,相似于这样的安全缝隙在各种网络服务器上都存在,他在写Ramen程序的时分也不是针对Linux 的。
防治的办法很简单,请晋级你的redhat 6.2的 nfs-utils , wu-ftpd , redhat 7.0的LPRng,详细下载能够到ftp://updates.redhat.com/。
查看体系是否被该程序侵入的办法是,看看有没有/usr/src/.poop这个目录被树立,以及27374端口是否被翻开,假如有的话就标明现已被Ramen侵入了。
看一个体系是否感染了Ramen蠕虫,首要根据以下几点:
1. 存在/usr/src/.poop目录
2. 存在/sbin/asp文件
3. 本地端口27374被翻开(用netstat -an指令)
能够用以下的perl脚本程序检测:
#!/bin/perl
# Script that checks for signs of ramen infection
# Patrick Oonk, patrick@security.nl
# based on Daniel Martin’s description at
# http://www.securityfocus.com/archive/75/156624
# No guarantees, do with this script whatever you like (BSD license)
$detected = 0;
print Ramen worm checker.\nChecking…\n;
open(F,/etc/redhat-release) ;
print You are running ,〈F〉,\n;;
close(F);
@suspect = (/usr/src/.poop, /usr/src/.poop/ramen.tgz,/tmp/ramen.tgz);
foreach (@suspect) {
if(-e) {
print found $_\n;
$detected++;
}
}
open(N, /bin/netstat -an|) or print Could not open /bin/netstat\n; while(〈N〉) {
if (/:27374.*LISTEN/) {
print Ramen webserver detected on port 27374\n;
$detected++;
last;
}
}
close(N);
if ($detected) {
print $detected telltale signs of ramen found. Get professional help\n;
} else {
print Wheee! No ramen signs found!\n;
}
铲除Ramen蠕点的过程:
1. 删去/usr/src/.poop目录和/sbin/asp文件。
2. 假如存在/etc/xinetd.d/目录,则删去/etc/xinetd.d/asp。
3. 删去/etc/rc.d/rc.sysinit文件中涉及到/usr/src/.poop的行。
4. 删去/etc/inetd.conf文件中涉及到/sbin/asp的行。
5. 重新启动体系和手动杀掉以下进程synscan,start.sh, scan.sh, hackl.sh, hackw.sh。
6. 晋级ftp, rpc.statd, lpr等程序。
由于Ramen是经过wu-ftp, rpc.statd, lpr等程序侵入体系的,所以在对这几个程序晋级前最好封闭这些程序,这样能够有效地避免被Ramen感染。
