Linux教程Linux
首页
基础知识
Linux业界
Linux系统
Linux人物
Linux文化
Linux资讯
Linux综合
当前位置:
Linux教程
-
Linux
- RameN Crew linux蠕虫分析
RameN Crew linux蠕虫分析
最近RameN Crew 闹得特别得凶,一个bugtraq上全是关于它得讨论,最近一直在外边,所以没有环境试试它。只能将bugtraq上的相关资料给出来让大家研究,lovehacker写了个扫描它的程序,有兴趣大家可以对感染了它的主机结合本文来研究研究。
以下翻译自bugtraq相关maillist文档
RameN Crew利用
lpd/ftp/statd 漏洞传播. 隐藏在 /usr/src/.poop/目录下, 监听27374 端口。
得到完整的tgz包:
lynx -source
http://IP:27374
> ramen.tgz
当然要找到受感染机器了,用lovehacker的东西你能很快找到,试了255个地址居然有10个已经被感染了,很可怕啊!
文件信息如下:
95282 Jan 15 22:22 ramen.tgz
ramen.tgz: gzip compressed data, deflated, original filename, last modified: Sat Jan 13 14:35:18 2001, os: Unix
一共26个文件,大部分的最后修改时间是1月13日。
文件清单:
434 Jan 11 22:49 start.sh
start.sh
作用:初始化程序. 修改index.html,删除 /etc/hosts.deny.
拷贝文件针对redhat62和redhat7不同的文件
synscan [扫描器], w[wuftpd 漏洞利用程序], l [lpd 漏洞利用程序],
s [statd 漏洞利用程序], randb [B类地址生成器]. 填加start62.sh 或 start7.sh到/etc/rc.d/rc.sysinit. 运行 bd62.sh / bd7.sh,start62.sh / start7.sh.
373 Jan 13 13:10 index.html
285 Jan 13 13:40 bd62.sh
213 Jan 11 22:25 bd7.sh
功能:
安装木马应用服务(tcp 27374)加入inetd, 重起 inetd.
在/etc/ftpusers加入 ftp and anonymous 用户,真好心,匿名就进不来了。
杀死 rpc.statd 和 rpc.rstatd进程, 删掉它们对应的执行文件.
112 Jan 13 13:24 start62.sh
112 Jan 13 13:24 start7.sh
功能:
执行scan.sh, hackl.sh, and hackw.sh.开始它的传播准备。
216 Jan 11 22:26 scan.sh
功能:检查主机连接线路决定syn扫描的强度。
按randb扫描对应ip的 21端口.结果记录在 t .l, .w,.heh文件里。
67 Jan 13 14:34 hackl.sh
针对 .l中的ip 尝试 lpd 漏洞利用.
19632 Jan 13 14:05 l62
l62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
21358 Jan 13 15:10 l7
l7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
可能是lpd漏洞利用程序
67 Jan 13 13:28 hackw.sh
根据.w中的ip地址尝试 ftpd and statd
漏洞。
34620 Jan 13 14:05 w62
w62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
36706 Jan 13 15:13 w7
w7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
可能是wuftpd 漏洞利用程序。
19619 Jan 13 14:05 s62
s62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
21721 Jan 13 15:13 s7
s7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
可能是statd漏洞利用程序。
[ 其他文件
267 Jan 12 18:47 asp
asp: ASCII text
asp service 配置文件.
12546 Jan 11 22:34 asp62
asp62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
14180 Jan 11 22:58 asp7
asp7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
asp 进程用来传递ramen.tgz.
553 Jan 11 22:26 getip.sh
getip.sh: Bourne shell script text
IP address > ./myip
12331 Jan 11 22:34 randb62
randb62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
13973 Jan 11 22:58 randb7
randb7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
生成随机的B类地址。
25888 Jan 11 22:37 synscan62
synscan62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), stripped
27076 Jan 11 22:58 synscan7
synscan7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), stripped
synscan
34588 Jan 11 22:28 wu62
wu62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
也许是另一个 wu-ftpd rh62 漏洞利用程序。
发布人:netbull 来自:中国网络安全技术联盟
构筑稳健的中文Linux(上)
防黑八项注意
FVWM 95设定说明(一)
Linux IP Masquerade mini HOWTO 中译版(1)
POSIX 线程详解(3)
黑客必读(六)
FVWM 95设定说明(三)
XLinux初体验
LINUX核心之 (第六章)
Linux循序渐进(21):别名
QMAIL:邮件管理篇——VmailMgr
印度软件水平和中国的程序员
FVWM 2.0 使用说明
JavaBean使用技巧
了解你的敌人:蠕虫战
站点导航
Linux教程
Php
Linux
非技术类
指令大全
Shell
安装启动
Xwindow
Kde
Gnome
输入法类
美化汉化
网络配置
存储备份
杂项工具
编程技术
网络安全
内核技术
速度优化
Apache
Email
Ftp服务
Cvs服务
代理服务
Samba
域名服务
网络过滤
其他服务
Nfs
Oracle
Dhcp
Mysql
Ldap
RedHat
赞助商链接