Linux.Ramen. Опасный Интернет-червь, атакующий серверы под управлением операционных систем Red Hat Linux 6.2 и 7.0. Первые сообщения о нем пришли из стран Восточной Европы. Для размножения червь использует некоторые слабые места (vulnerabilities) в приложениях Washington University’s ftp server (wu-ftpd) и Remote Procedure Call stat server (rpc.statd) для Red Hat Linux 6.2 и LPRng (lpd) для Red Hat Linux 7.0.

Указанные приложения обычно по умолчанию инсталлируются при установке операционной системы Red Hat Linux и без соответствующих заплаток безопасности (security patches) уязвимы для атаки червя.

Червь представляет собой архив с именем ramen.tgz, содержащий 26 различных исполняемых файлов и shell-скриптов. Каждый исполняемый файл хранится в архиве в двух экземплярах: скомпилированный для запуска в Red Hat 6.2 и 7.0. Также в архиве содержится исполняемый файл с именем wu62, который при работе червя не используется.

При старте червь устанавливает на tcp-порт 27374 небольшой HTTP-сервер, на любой запрос отдающий основной файл червя ramen.tgz. Далее начинает работу скрипт start.sh, который определяет версию операционной системы RedHat по наличию или отсутствию файла /etc/inetd.conf, копирует бинарные файлы, скомпилированные в соответствии с версией системы, в файлы с именами, используемыми в дальнейшем для запуска из его скриптов, а затем запускает в фоновом, непрерываемом режиме три свои основные части:

• сканирование методом synscan подсетей класса В и определение активных хостов с Red Had Linux 6.2/7.0. Сканирование происходит в два этапа: сначала через запуск соответствующего исполняемого файла получается случайный адрес подсети класса B, а затем, через запуск другого файла, последовательно сканируются все хосты в этой подсети. Червь пытается соединиться с портом 21 (ftp) и найти некоторые подстроки в строке приветствия, выдаваемой ftp-сервером. Ramen ищет фразу «Mon Feb 28», которая якобы принадлежит Red Hat 6.2, или «Wed Aug 9», принадлежащую Red Hat 7.0;

• попытку атаки на найденный хост через уязвимость в rpc.statd;

• попытку атаки на найденный хост через уязвимость wu-ftpd и lpd.

При успехе одной из этих атак на атакуемом сервере выполняются следующие операции:

• создается каталог /usr/src/.poop;

• запускается текстовый браузер lynx с указанием соединиться с атакующим сервером на порт 27374 и сохранить всю информацию, отданную сервером, в файл /usr/src/.poop/ramen.tgz;

• полученный файл с червем копируется в /tmp и распаковывается;

• запускается стартовый файл червя start.sh;

• на e-mail-адреса gb31337@hotmail.com и gb31337@yahoo.com отправляется сообщение с темой, содержащей IP-адрес атакованной машины, и телом письма: «Eat Your Ramen!».

Далее червь ищет в системе все файлы с именем index.html и заменяет их содержание на html-код, выводящий на экран следующий текст: «RameN Crew. Hackers looooooooooooooooove noodles».

Затем червь удаляет файл /etc/hosts.deny для отмены всех запретов на соединения и получает вызовом своего shell-скрипта IP-адрес атакованной машины, копирует свой HTTP-сервер в файл /sdin/asp, прописывает его вызов путем задания соответствующих настроек в /etc/inetd.conf для RedHat 6.2 или в /etc/xinetd.d для Red Hat 7.0 и переинициализирует сервис inetd/xinetd для запуска своего HTTP-сервера.

Для предотвращения повторных атак на данную систему вирус удаляет уязвимые сервисы:

• в файл /etc/ftpusers добавляются две записи: «ftp» и «anonymous», что запрещает анонимный ftp-доступ и блокирует дыру, используемую червем для атаки на wu-ftpd;

• для Red Hat 6.2 сначала из памяти, а затем и с диска удаляются сервисы rpc.statd и rpc.rstatd;

• для Red Hat7.0 из памяти, а затем с диска удаляется сервис lpd.

Далее червь прописывает вызов своего start.sh в /etc/rc.d/rc.sysinit, что позволяет ему повторно активизироваться при каждой загрузке системы. При кажущейся безвредности червь чрезвычайно опасен, так как нарушает нормальное функционирование сервера: работа http-сервера будет нарушена уничтожением содержимого всех index.html-файлов, анонимный ftp-доступ к серверу будет запрещен, cервисы rpc и lpd будут удалены, ограничения доступа через hosts.deny будут сняты.

Червь использует в своем коде многие слегка модифицированные разработки, ранее доступные на хакерских сайтах, а также на сайтах, посвященных сетевой безопасности.

Cледует отметить, что червь использует при атаках дыры, самая свежая из которых известна с конца сентября 2000 года. Однако то, что при инсталляции системы на нее устанавливаются уязвимые сервисы, а многие пользователи и администраторы не производят должный мониторинг предупреждений о слабых местах системы и вовремя не устраняют их, делает червя крайне жизнеспособным: в настоящее время зафиксированы многие случаи предпринятых им атак, закончившихся успехом.

Linux.Adore. Очень опасный Интернет-червь. Является компиляцией вирусов Linux.Ramen и Linux.Lion, использует для своего распространения те же слабые места в различных сервисах, что и упомянутые вирусы. Как и Linux.Lion, оставляет в системе «черный ход» для удаленного несанкционированного доступа к ней с привилегиями администратора.

Максим Скида
[antivir@DialogNauka.ru]