当前位置:Linux教程 - Linux - RameN Crew linux蠕虫分析

RameN Crew linux蠕虫分析



        

    最近RameN Crew 闹得特别得凶,一个bugtraq上全是关于它得讨论,最近一直在外边,所以没有环境试试它。只能将bugtraq上的相关资料给出来让大家研究,lovehacker写了个扫描它的程序,有兴趣大家可以对感染了它的主机结合本文来研究研究。

    以下翻译自bugtraq相关maillist文档

    RameN Crew利用
    lpd/ftp/statd 漏洞传播. 隐藏在 /usr/src/.poop/目录下, 监听27374 端口。

    得到完整的tgz包:
    lynx -source http://IP:27374 > ramen.tgz
    当然要找到受感染机器了,用lovehacker的东西你能很快找到,试了255个地址居然有10个已经被感染了,很可怕啊!

    文件信息如下:
    95282 Jan 15 22:22 ramen.tgz
    ramen.tgz: gzip compressed data, deflated, original filename, last modified: Sat Jan 13 14:35:18 2001, os: Unix

    一共26个文件,大部分的最后修改时间是1月13日。

    文件清单:
    434 Jan 11 22:49 start.sh
    start.sh
    作用:初始化程序. 修改index.html,删除 /etc/hosts.deny.
    拷贝文件针对redhat62和redhat7不同的文件
    synscan [扫描器], w[wuftpd 漏洞利用程序], l [lpd 漏洞利用程序],
    s [statd 漏洞利用程序], randb [B类地址生成器]. 填加start62.sh 或 start7.sh到/etc/rc.d/rc.sysinit. 运行 bd62.sh / bd7.sh,start62.sh / start7.sh.

    373 Jan 13 13:10 index.html

    285 Jan 13 13:40 bd62.sh
    213 Jan 11 22:25 bd7.sh
    功能:
    安装木马应用服务(tcp 27374)加入inetd, 重起 inetd.
    在/etc/ftpusers加入 ftp and anonymous 用户,真好心,匿名就进不来了。
    杀死 rpc.statd 和 rpc.rstatd进程, 删掉它们对应的执行文件.

    112 Jan 13 13:24 start62.sh
    112 Jan 13 13:24 start7.sh
    功能:

    执行scan.sh, hackl.sh, and hackw.sh.开始它的传播准备。

    216 Jan 11 22:26 scan.sh
    功能:检查主机连接线路决定syn扫描的强度。
    按randb扫描对应ip的 21端口.结果记录在 t .l, .w,.heh文件里。

    67 Jan 13 14:34 hackl.sh
    针对 .l中的ip 尝试 lpd 漏洞利用.

    19632 Jan 13 14:05 l62
    l62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
    21358 Jan 13 15:10 l7
    l7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped

    可能是lpd漏洞利用程序

    67 Jan 13 13:28 hackw.sh
    根据.w中的ip地址尝试 ftpd and statd
    漏洞。

    34620 Jan 13 14:05 w62
    w62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
    36706 Jan 13 15:13 w7
    w7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
    可能是wuftpd 漏洞利用程序。

    19619 Jan 13 14:05 s62
    s62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
    21721 Jan 13 15:13 s7
    s7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped

    可能是statd漏洞利用程序。

    [ 其他文件

    267 Jan 12 18:47 asp
    asp: ASCII text

    asp service 配置文件.

    12546 Jan 11 22:34 asp62
    asp62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped

    14180 Jan 11 22:58 asp7
    asp7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped

    asp 进程用来传递ramen.tgz.

    553 Jan 11 22:26 getip.sh
    getip.sh: Bourne shell script text

    IP address > ./myip

    12331 Jan 11 22:34 randb62
    randb62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped
    13973 Jan 11 22:58 randb7
    randb7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped

    生成随机的B类地址。

    25888 Jan 11 22:37 synscan62
    synscan62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), stripped
    27076 Jan 11 22:58 synscan7
    synscan7: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), stripped

    synscan

    34588 Jan 11 22:28 wu62
    wu62: ELF 32-bit LSB executable, Intel 80386, version 1, dynamically linked (uses shared libs), not stripped

    也许是另一个 wu-ftpd rh62 漏洞利用程序。



    发布人:netbull 来自:中国网络安全技术联盟