Internet worm voor RedHat Linux

Een nieuwe Internetworm kruipt rond op het internet. De worm maakt gebruik van bekende beveiligingsfouten in Red Hat Linux servers. Men vermoedt dat de worm, met de naam Ramen, in elkaar is gezet door script-kiddies. Desalniettemin blijkt de worm zeer effectief te zijn. Ramen vindt zijn weg door te zoeken naar servers die Red Hat Linux versie 6.2 of 7.0 draaien en binnen te dringen met een methode die beheerdersprivileges verschaft. Als dat eenmaal is gelukt wordt een zogenaamde rootkit geïnstalleerd die de beveiligingsgaten dichtstopt, een aantal systeemprogramma's vervangt en een eventueel aanwezige index.html vervangt door een pagina met de tekst "RameN Crew--Hackers looooooooooooove noodles." Vervolgens wordt er een mailtje naar 2 Hotmail accounts gestuurd en vervolgt de worm zijn tocht naar de volgende Red Hat Linux server. Hieronder een gedeelte uit het artikel van Security.nl:

De worm werd ontdekt door lezers van de Security Focus 'incidents' mailinglist (thread), die een stijging in het aantal scans voor WU-Ftpd en rpc.statd (diensten die vaak op Unix/Linux servers draaien) waarnamen. In deze diensten zit bij RedHat 6.2 en 7.0 een lek. Er zijn voor de door de worm gebruikte gaten (WU-ftpd, rpc.stad, LPRng) al geruime tijd oplossingen in de vorm van patches beschikbaar, maar een groot aantal beheerders heeft verzuimd deze te installeren.

Als de worm scant gebruikt deze grote hoeveelheden bandbreedte, en valt daardoor ook snel op. De snelheid waarmee de worm grote hoeveelheden nummers kan afscannen is opvallend.

[...] Red Hat waarschuwingen en oplossingen zijn hier te vinden. Updaten van een Red Hat Linux systeem is in grote mate te automatiseren door middel van het programma updateme.

Op SecurityFocus is een analyse van de worm te vinden.

Met dank aan GoGoHaRrY voor de tip.

Door Robin van Rootseler

Developer

Feedback • 18-01-2001 07:46 68

18-01-2001 • 07:46

68

Bron: Security.nl

Lees meer

Red Hat 8.0 officieel gereleased
Red Hat 8.0 officieel gereleased Nieuws van 30 september 2002
Eerste worm ontdekt in Windows desktop theme
Eerste worm ontdekt in Windows desktop theme Nieuws van 4 september 2001
Server in je binnenzak
Server in je binnenzak Nieuws van 29 juni 2001
Software

Reacties (64)

-Moderatie-faq
64
57
41
14
1
0
Wijzig sortering
Verwijderd 18 januari 2001 08:11
Als de worm scant gebruikt deze grote hoeveelheden bandbreedte, en valt daardoor ook snel op.
:? Ik weet niet hoor, maar ik zit niet de hele dag te kijken naar hoeveel bandbreedte er wordt gebruikt. Als het internet langzaam gaat, denk ik

1. Een collega zit weer te Napsteren
2. Een visser heeft met z'n anker een kabeltje verlegd.
3. Moet Windows maar weer eens rebooten.
dusty @Verwijderd18 januari 2001 08:39
Als het internet langzaam gaat, denk ik
Of 4. Toch maar eens een andere provider dan Casema gaan zoeken. :)
Ulysses @Verwijderd18 januari 2001 08:31
Jij misschien niet, maar jij bent waarschijnlijk geen beheerder? Ik wel dus, en ik check vrij regelmatig hoevele bandbreedte ons netwerk trekt aangezien we er ook voor moeten dokken.
Gelukkig draai ik de genoemde services volgens mij niet. Maar ik ga meteen maar es kijken...
boekel 18 januari 2001 07:56
Ramen vindt zijn weg door te zoeken naar servers die Red Hat Linux versie 6.2 of 7.0 draaien en binnen te dringen met een methode die beheerdersprivileges verschaft. Als dat eenmaal is gelukt wordt een zogenaamde rootkit geïnstalleerd die de beveiligingsgaten dichtstopt
Dus als ik het goed begrijp dan hoef je zelf je beveiliging niet te verbeteren maar doet deze worm dat voor je ;)

Okee....wat ie nog meer doet behalve verder zoeken staat er niet bij.
QuarK @boekel18 januari 2001 09:54
Tja dat ding zal wel beginnen met met rootpassword te veranderen. En dan zul je toch met een rescuedisk aan de gang moeten gaan.

Of natuurlijk een reserve-root account hebben (userid 0)
ACM Software Architect @QuarK18 januari 2001 11:22
Of natuurlijk een reserve-root account hebben (userid 0)
Die tip heb je van mij :P (en ik weer van bastille-linux)

Maar ook gewoon de boel in single-user mode of init=/bin/bash starten kom je er gewoon in hoor :-)

Tenzij je dat natuurlijk ook dichtgesmeerd hebt...

Voorderest is het wel gewoon dom, om niet af en toe de patches te controleren want ook redhat heeft daar mailinglists voor... (Ben ik geen lid van, want ze staan ook altijd wel op freshmeat, maar toch)
memphis 18 januari 2001 08:38
En al die Linux gebruikers maar opscheppen dat ze geen of amper last hebben van virussen :?
Naar mate de populairiteit van Linux beter wordt zullen ook de hoeveelheid virussen stijgen.....
LinuxMan @memphis18 januari 2001 13:56
En al die Linux gebruikers maar opscheppen dat ze geen of amper last hebben van virussen
Hallo! wake up! wuftp wordt _niet_ gemaakt door Linux developers. rpc.statd wordt _niet_ gemaakt door Linux developers. Het zijn _externe_ programma's. Vandaar dat ook alleen redhat hier last van heeft, Debian bijvoorbeeld heeft andere executables in de distributie zitten.

Als je dit dus gaat vergelijken met windows virussen dat zit je dus verkeerd. Als je alle bugs van _alle_ windows software optelt en je gaat het dan vergelijken met alle bugs van alle Linux software dan heb je weer een redelijke vergelijking.
Verwijderd @memphis18 januari 2001 08:53
Ben het met je eens dat er meer virussen zullen ontstaan als linux meer gebruikt gaat worden. Prijs van de roem zullen we maar zeggen. Ik denk echter dat dit niet een slim virus is. Ze hebben gewoon gekeken waar de beveiligingsfouten in RHlinux zaten. Das niet zo moeilijk te achterhalen (staat op hun website). Is alleen knap stom om als administrator niet regelmatig te kijken of er patches beschikbaar zijn. Die was in dit geval al geruime tijd beschikbaar dus...... eigen schuld denk ik.

BTW, als je gewoon een support contract hebt met RH(wat elke zichzelf respecterende admin heeft als ie RH draait) krijg je gewoon regelmatig alle updates toegestuurd op CD-rom, dus conclusie is. Alle servers die geraakt worden door dit "virus" maken geen gebruik van deze regeling of zijn zo idioot bezig dat ze het niet geinstalleerd hebben.
Verwijderd @Verwijderd18 januari 2001 10:38
Het verspreiden van virussen als `I love you' is ook gewoon een vorm van stupiditeit. Het grootste `lek' van ieder OS is en blijft: de gebruiker.
NaioN @memphis18 januari 2001 10:52
Het is gewoon ook echt moeilijker om een virus onder Linux/Unix te verspreiden. Als het goed is draaien er nauwelijks processen als root, ook niet de daemons in de achtergrond. Het is dus voor virussen en wormen moeilijker om een programma te exploiten en dan ook nog eens het systeem te exploiten.
Wat ik jammer vind aan RedHat is dat zij te weinig moeite besteden aan security, er zijn distributies die een stuk veiliger zijn, dat is dus het mooie aan Linux, ben je niet tevreden met de ene distributie dan neem je een ander die wel op de security let, dat is niet mogelijk met bv Windows.
Jit @NaioN18 januari 2001 13:13
Het is gewoon ook echt moeilijker om een virus onder Linux/Unix te verspreiden.
Wat misschien verklaart waarom er in de levensduur van 30 jaar die UNIX nu heeft, slechts 12 virussen voor geschreven zijn. Ook dit virus is iets wat alleen mogelijk is door een foutje in de beveiliging van een bepaalde applicatie.

Dat je gelijk wilt beweren dat RH niet voldoende aan de beveiliging van haar distro doet, lijkt me overigens wel wat gechargeerd. Er zijn voor dit lek toch al weer enige tijd patches beschikbaar en kennelijk zijn er veel te veel admins die ze niet bijhouden; klunziheid van de eerste orde IMO.
Verder zijn er diverse distros die afegeleid zijn van een RH-versie en die pikken dan de graantjes mee van de eerder gevonden foutjes in door RH uitgebrachte versies. Nogal wiedes dat die distros dan veiliger zijn.
Daarnaast zijn er ook genoeg mensen die een volledig install willen en dan kun je elke willekeurige distro nemen en er wel een vergelijkbaar lek in vinden.
En RH is nu eenmaal de meest gebuikte distro, met name in de preinstalled computer verkoop; waar ie meestal met zoveel mogelijk toeters en bellen wordt geinstalleerd...

* 786562 Jit
mth @NaioN18 januari 2001 17:24
Een virus hoeft geen root te zijn om narigheid uit te halen. Een gemiddelde user heeft wat diskruimte en toegang tot het netwerk, dat is genoeg voor het virus om zich te kunnen verspreiden. En als je homedir leeggegooid wordt dan ben je ook niet blij.

Win95/98/ME die geen enkele vorm van bescherming van het bestandssysteem hebben zijn een paradijs voor virusmakers. Maar ik verwacht dat er nog wel meer Linux of Unix virussen zullen komen nu deze systemen populairder worden op de desktop.

Deze worm is trouwens wel apart, omdat hij servers aanvalt ipv desktops. Maar eigenlijk is het een geautomatiseerde versie van een script kiddie en er is eenvoudig tegen te beveiligen.
Verwijderd @memphis18 januari 2001 08:59
Heel goed gezien. Er zijn zelfs hele volkstammen Linux-wannabees die beweren dat het niet eens mogelijk is om een Linux systeem met een virus te besmetten. En helaas zijn daar ook beheerders van hele grote netwerken bij.

Er zijn al enkele specifieke virussen voor Linux en dat zullen er meer worden. Uiteraard komen er ook anti-virus-tools, patches, etc. Hoort er helaas allemaal bij.
Deddiekoel @memphis18 januari 2001 11:22
Ben ik zeker met je eens.
Ook denk ik dat Linux wel eens veel erger de ... kan zijn doordat de broncode overal bekent is.
Veel meer mensen weten hoe het allemaal zit en wat ze dus moeten doen om zoiets te maken...
markjanssen 18 januari 2001 09:44
Als je een beetje serieus linux wil draaien op een server zonder je de hele dag bezig te houden met checken voor upgrades, deze downloaden en installeren, dan moet je natuurlijk ook gewoon een fatsoenlijk systeem als Debian draaien... Als er security fixes zijn staan deze op security.debian.org en kan je met twee simpele commando's (die prima vanuit cron kunnen) je systeem weer updaten met de laatste fixes (die commando's zijn: 'apt-get update' en 'apt-get upgrade' )

Gemak dient de mens... laat de computer zichzelf maar up-to-date houden... hoef ik alleen maar te checken of alles goed gaat terwijl ik het network-traffic analyze...

(Edit: Zinopbouw effe wat leesbaarder gemaakt...)
]Byte[ 18 januari 2001 10:35
Het kan aan mij liggen, maar RedHat heeft in 7.0 standaard de up2date utility er inzitten, en als je die niet (wilt :?) gebruiken, tja dan moet je de gevolgen er maar van voelen.
Als je je bij RH op de mailing-list zet krijg je ook nog automatisch een mailtje wanneer er updates zijn en anders zet je 'm gewoon default in je crontab zodat ie iedere dag ff checked of er updates zijn.
]Byte[ 18 januari 2001 13:26
SvMp:
Wie installeert er dan ook RedHat op een server?
IK, en samen met mij ook nog een paar miljoen andere gebruikers.
Ik vind dat je als je een server installeert dat met beleid moet doen. Dus zorgvuldig selecteren welke services je gaat draaien, zelfs downloaden en bepalen welke versies je wilt hebben.
En :? Wat heeft deze opmerking met RH te maken....
Ditzelfde geldt voor iedere server die je installeerd ongeacht het OS!
Daarna natuurlijk wel up-to-date houden
I rest my case :Z
JeffryS @]Byte[18 januari 2001 15:13
Ik ben het voor een deel wel eens met SvMp, en ik hoeft niet ver te gaan zoeken voor argumenten om redhat niet te gebruiken voor productie servers:

1) Linus Torvalds kraakt laatste Linuxversi e Red Hat af
2) Red Hat 7 bug: maximaal 3 weken uptime
3) Bug in Red Hat Linux zet server open voo r hackers

Het gebeurt de mensen van Red Hat Inc maar al te vaak door bepaalde features als eerste te willen aanbieden de gebruikers met van dit soort bugs opzadelen. Een distributie als Debian heeft een degelijk en _openbaar_ QA beleid, daarom gaan bij deze distributie gaan de ontwikkelingen dan ook niet zo snel en wordt de distributie aantrekkelijker voor stable production environments.
BikkelZ 18 januari 2001 10:24
Dit moeten Nederlanders zijn geweest.

Ramen<-->Windows snappie?

-----------

Vergeet je een keer een ;) toe te voegen ben gelijk interessant in plaats van grappig.
KMK @BikkelZ18 januari 2001 11:55
Nope http://www.tokyoclassified.com/tokyofooddrinks/ 308/tokyofooddrinksinc.htm
NiGeLaToR 18 januari 2001 07:56
Jesus, heel naar als je dit als bedrijf overkomt. Heel dom ook als je die gaten niet dicht hebt gestopt. Zouden bedrijven niet gewoon beter moeten weten en pakketten als FreeBSD installeren ofzo?

Gelukkig gaat het hier om een honor-virus (ego-lol voor de schrijvers) en niet eentje die je pc naar z'n malemoere helpt... ;)


Dubbel-post?? Hehe, was de eerste hoor... :P
LinuxMan @NiGeLaToR18 januari 2001 10:43
Heel dom ook als je die gaten niet dicht hebt gestopt
En nog dommer zelfs als je die servers hebt draaien terwijl je ze niet gebruikt.

Ik snap dit echt niet, als er een bug in een van de Debian packages wordt gevonden krijg ik mail (via de debian security mailinglist), dan log je in de servers, draai je 'apt-get update ; apt-get upgrade' en je security holes zijn weer gefixt. Nou zit de organisatie bij Debian wellicht wat beter in elkaar maar dan nog. Welk bedrijf doet dit nou in hemelsnaam niet??? Het is _zo_ weinig moeite, en het scheelt _zo_ veel rotzooi....
Verwijderd @LinuxMan18 januari 2001 12:26
En nog dommer als je dat soort services vanuit het internet bereikbaar houdt.... m.u.v. wu-ftpd.
Mental @Verwijderd19 januari 2001 00:00
<zeik mode>
stel je voor dat je je telnet server die je draait kan bereiken vanaf je werk / school. slaat dus nergens op.
als je iets draait heeft dat meestal een reden. (remote administration etc.) zolang je het maar op ip-ranges beveiligd.
</zeik mode>

gewoon je software updaten na deze waarschuwing, en niks aan het handje
Verwijderd 18 januari 2001 08:56
open source heeft net als elke medaille natuurlijk zijn keerzijde. Het spreekt echter vóór het OS dat er zo weining virus-achtige programma's voor zijn geschreven. Het is een stuk makkelijker een virus te programmeren voor een OS waar je de boncode van kunt bekijken dan voor een OS waarvan je dat niet kunt. Het spreekt TEGEN windows dat er, ondanks dat er GEEN open source policy op rust, er toch zo veel leaks gevonden worden waarvoor de kwaadwillende programmeur dan weer een virusje o.i.d. kan knippen en plakken.
Natuurlijk zullen er meer virussen voor linux komen, alleen zullen deze veel minder schade kunnen aanrichten (mits je de linux beveiligings principes goed gebruikt.)

Oh ja " gelukkig draai ik genoemde services VOLGENS MIJ niet..." jij was DUS toch wel beheerder ? LOL
LinuxMan @Verwijderd18 januari 2001 14:03
Het is een stuk makkelijker een virus te programmeren voor een OS waar je de boncode van kunt bekijken dan voor een OS waarvan je dat niet kunt
Het is tevens veel makkelijk om ze te fixen als je de broncode hebt. Dit is de vergelijking die security experts altijd maken:

Neem 2 brakke muren in een bank waar geld ligt van de hele stad, de een hang je een gordijn voor zodat niemand kan zien dattie brak is, de andere zet je schijnwerpers op en je nodigt de hele stad uit om te helpen repareren.
Welke denk je dat na een jaar het sterkste is? :7
timothee 18 januari 2001 08:40
Dit is ook lekker zoiets! :(
Heb net een aantal weken mijn thuis servertje draaien op e-smith, een op redhat 7 gebaseerde linux server dus.....denk lekker veilig. Krijg je zoiets....ik heb verder nauwelijks verstand van linux, dus ik was allang blij dat ik op een makkelijke manier een naar mijn idee goede server en gateway had kunnen opzetten....niet dus....ik heb geen idee hoe dit op te lossen en hoe de beveiliging op te schroeven....
Dat ze die kut script-kiddies dwangarbeid opleggen, evt. bij een bedrijf als symantec, doen ze tenminste eens wat nuttigs.
LinuxMan @timothee18 januari 2001 13:59
Heb net een aantal weken mijn thuis servertje draaien op e-smith, een op redhat 7gebaseerde linux server dus.....denk lekker veilig.
als je geen servers draait die je niet nodig hebt, en van de servers die je wel nodig hebt zo nu en dan kijkt of er problemen mee zijn is er niks aan de hand, dan is je systeem zo veilig als maar kan.
Verwijderd @timothee18 januari 2001 10:16
Als je geen verstand hebt van Linux waarom gooi je dan een Linux server in de lucht ???
Verwijderd @Verwijderd18 januari 2001 10:46
Jij bent toch ook begonnen? Of was jouw eerste linux bak meteen perfect...
cappie @Verwijderd18 januari 2001 13:26
Netware 4.20.. :r

Draai dan Windows 2000 Server ofzo.. daar kun je tenminste nog _iets_ nuttigs mee doen.. (of Linux natuurlijk, maar dat is vast wel te moeilijk voor je nou je Netware 4.20 gewend bent)
Verwijderd @Verwijderd18 januari 2001 15:36
Noem dan een paar dingen wat je met windows 2000 AVS meer kunt dan met Netware 4.20.

En om even op het Linux verhaal terug te komen:
Voor Novell is meer support beschikbaar dan voor Linux, ik heb het wel over het bedrijfs leven en niet wat er thuis draait want daar heeft iedreen een verschillende mening over.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq