[Forum] Linux servere under angreb fra ny orm!

From: Mogens Balle Bertelsen <balbert@post4.tele.dk>
Date: Thu Jan 18 2001 - 17:21:13 CET

Hej Linuxfreaks,

Nedenstående er sakset fra nyhedsmail fra www.itsvar.dk :

DAGENS HOVEDNYHED

Linux servere under angreb fra ny orm
I løbet af de seneste 4 dage er det blevet klart at en gruppe hackere, der
kalder sig "Ramen Crew", har udviklet en "orm" der automatisk spreder sig på
sårbare Linux servere. Ormen er blevet døbt "Ramen Worm", idet den skifter
hjemmesider på de angrebne servere ud med et banner der bl.a. indeholder et
billede af en pakke "Ramen" nudler. Når maskinerne er inficeret sender de en
mail til et par mailkonti med deres adresse. Disse konti hos bl.a. hotmail
er nu lukket.

Ormen benytter sig af, at Redhat Linux 6.2 servere, der ikke er opdateret
med patches, indeholder en sårbar ftp server, der giver uatoriseret adgang
til maskinen. Redhat 7.0 angribes via et sikkerhedshul i LPng (TCP/IP
printer servicen).

De inficerede maskiner fungerer efter infektionen som servere hvorfra ormen
kan downloades ved at kontakte en port, der for at forvirre er valgt så den
er sammenfaldende med porten for Windows-trojan programmet SubSeven.

Således ser hjemmesiden ud på de hackede boxe:

RameN Crew
Hackers looooooooooooooooove noodles.T
This site powered by. Og så er der et billede af en pose Noodles

Lance Spitzner fra Project Honeypot har i en mail til "Incidents"
mailinglisten hos www.securityfocus.com i denne uge anslået at "levetiden"
for en "out of the box" installeret Red Hat 6.2 Linux på Internettet er 2-3
uger. Efter dette er det sandsynligt at maskinen er blevet inficeret med et
rootkit, Ramen orm eller lignende, der gør maskinen til et værktøj for
hackere.

Project Honeypot (http://www.honeynet.org) har gennem at placere maskiner
tilsyneladende ubeskyttet på Internettet skaffet detaljerede oplysninger om
hackernes arbejdsmetoder og værktøjer.

RedHat, der produceret den mest populære Linux har rettelser til alle de
sikkerhedsproblemer, der er baggrunden for dette, og det gælder også de
fleste andre Linux-varianter.

Mvh.
        Mogens
Received on Thu Jan 18 16:21:28 2001

This archive was generated by hypermail 2.1.8 : Tue Jul 19 2005 - 16:01:51 CEST