.rave --- Worm --- где дыра, не подскажете?

0

0

Tripwire показал изменение ряда системных файлов (login, ls, ps, netstat, ifconfig, init,syslogd), в /bin добавился xlogin, в /usr/bin появился каталог /.rave с содержимым. Изменены rc.sysinit и rc.local
Запущены левые сервисы на 80, 443, 3049 и 1986
Sislogd был червём в момент заражения остановлен, в логах чисто.

Сталкивался ли кто-нибудь? В какой программе дыра-то?

Ссылка

←	IPTables+nmap(NULL scan)

iptables - DENY

→

какие сервисы на машине крутились и какие порты были открыты?

anonymous
(26.08.03 15:34:02 MSD)

Ссылка

http://www.f-secure.com/v-descs/ramen.shtml

похоже?

ivlad ★★★★★
(26.08.03 21:53:49 MSD)

Ссылка

Я, задавший вопрос анонимус.
Использована, вероятней всего была дыра в Apache+OpenSSL-0.9.6, год назад следовало обновить. Описание здесь http://www.kb.cert.org/vuls/id/102795

Зараза похоже является гибридной формой:
Linux.Osf.8759 и Worm.Linux.Mighty
меняет размеры файлов в /bin, слушает UDP 3049 -- если убить, минут через 5 появляется снова под другим именем. От netstat и ls не прячется. В /bin/.rave -- 2 tgz -- apache и psybnc плюс они же в распакованном в каталоги виде.

http://www.viruslist.com/viruslist.html?id=178757
http://www.viruslist.com/viruslist.html?id=1150934

Что-то заставляет меня думать, что проблема распространенее, нежели может показаться. Буквально на этих днях знакомый спросил отчего бы у него вдруг появились глюки на ASP 7.2 я попросил его глянуть netstat -lpen нет ли какого левого сервиса на UDP 3049 -- оказалось есть.

Всем спасибо.
З.Ы. А систему пришлось загрузить с резервного диска и тотчас обновить всё имеющееся

anonymous
(13.09.03 15:17:32 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	IPTables+nmap(NULL scan)

Security

iptables - DENY

→

Похожие темы