Skoči na vsebino

SI-CERT 2001-02 / Linux črv “Lion”

Črv "Lion" (1i0n) izkorišča luknje v starih verzijah BIND DNS strežnikov za svoje širjenje. Črv trenutno deluje le na Linux sistemih, različice za druge UNIX operacijske sisteme niso znane.

Opis

Črv izkorišča napako pri obravnavanju TSIG zahteve v BIND programih verzije 8.2, 8.2-P1, 8.2.1 in 8.2.2-Px. V BIND 8.2.3-REL je napaka odpravljena.

Črv se širi preko programa randb, ki izbere naključni razred B IP naslovnega prostora, kjer poišče ranljive DNS strežnike. Nato preko programa name na ranljiv sistem namesti zbirko vlomilskih orodij t0rn rootkit. Nato pošlje datoteki /etc/passwd in /etc/shadow po elektronski pošti na naslov v domeni china.com, pobriše /etc/hosts in doda zapise v /etc/inetd.conf, ki omogočajo neavtoriziran root dostop do ukazne vrstice (shell) na portih 60008/tcp in 33567/tcp, na 33568/tcp pa instalira trojansko kopijo SSH strežnika (ta se skopira tudi na /usr/sbin/ncsd). Pobije tudi syslogd proces in namesti popravljeno (trojansko) verzijo /bin/login programa, ki preveri geslo v /etc/ttyhash.

T0rn rootkit zamenja več sistemskih programov: du, find, ifconfig, in.telnetd, in.fingerd, login, ls, netstat, ps, pstree in top in namesti dodatne programe: t0rn, tfn in mjy.

Ukrepanje

Preverite, katera verzija BIND programa teče na vašem strežniku in po potrebi namestite BIND 8.2.3-REL oziroma zadnjo verzijo BIND 9.x. Črv pregleduje sicer B razrede naslovnega prostora, vendar ga je trivialno spremeniti tako, da se širi po C razredih, ki so večinoma uporabljani v Sloveniji.

Če sumite, da je morda vaš sistem okužen, preverite zapise v /etc/inetd.conf in avtentičnost programov, ki jih namesti t0rn rootkit. Pri odstranjevanju se odločite, če ni bolj smiselno narediti kopije pomembnih podatkov in na novo naložiti celoten sistem.

Dodatne informacije

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več