會員 ![]() | |
回覆 |
小笨蛋 | 2001/03/24: Alert: New worm "Lion" <簡述> Lion 是一支新的worm程式,它跟前陣子的Ramen很相似不過它比 Ramen還要來的危險的多影響也較為嚴重。這支程式透過BIND TSIG 的弱點來進行傳播的,此弱點請參閱本中心發佈的安全通報: http://www.cert.org.tw/advisory/2001...A-2001-015.txt 目前影響的平台主要為 Linux 平台安裝有 BIND version(s) 8.2, 8.2-P1, 8.2.1以及8.2.2-Px的主機影響較大。 <描述> 跟Remen一樣,Lion也是由幾個程式及scripts組合而成,其中它會透 過一個名叫randb的程式,它會掃瞄 Random B class 的網路來偵測tcp port 53來檢查是否為有漏洞的BIND版本,在取得權限後它會在受害 主機上植入t0rn rootkit後門程式。 一旦它入侵了主機它會傳回主機上的/etc/passwd及/etc/shadow這兩個 檔到某個特定domain的某個ip,並砍掉主機上etc/hosts.deny這個檔案, 並在受害主機上開起60008及33567兩個TCP port以用來取得root shell, 並在port 33568/tcp開起一個木馬版本的ssh服務,而且它會砍掉syslogd 這個process,所以系統的log可能不完整了。 而在Lion所植入的後門程式t0rn rootkit,它會把自己隱藏起來並置換 好幾個系統上的程式,如下所列: 置換的檔案:du , find , ifconfig , in.telnetd , in.fingerd , login , ls , mjy , netstat , ps , pstree , top 等檔案。 增加的檔案:t0rn , tfn。 <檢測> lionfind 由 Sans 所提供的Lion worm檢測工具。 下載Lionfind檢測工具。 參考網址: http://www.sans.org/y2k/lion.htm Lion worm http://www.cert.org.tw/data/DDoS.htm DDoS handling steps http://www.cert.org.tw/data/DDoS2.htm http://www.cert.org.tw/advisory/2001...A-2001-015.txt Bind tsig 以上轉載自TWCERT |
回覆 |
|
![]() | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
【病毒】卡巴掃出來的 worm.win32.vking.lm///worm.win32.vking.jy | joexx12 | -- 防 駭 / 防 毒 版 | 2 | 2007-05-29 11:06 PM |
WORM RBOT.GN | grace0936 | -- OFFICE 相 關 軟 體 討 論 版 | 1 | 2006-08-31 09:58 PM |
近期有一種蠕蟲病毒W32.spybot.worm | bvcxz88888 | -- 防 駭 / 防 毒 版 | 0 | 2006-03-16 05:21 PM |
RPC WORM 發送大量ICMP導致的網路阻塞解決方式建議 | TAIWAN | -- 防 駭 / 防 毒 版 | 0 | 2003-08-21 05:46 PM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。