Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties
Bron: Security.nl

Een nieuwe Internetworm kruipt rond op het internet. De worm maakt gebruik van bekende beveiligingsfouten in Red Hat Linux servers. Men vermoedt dat de worm, met de naam Ramen, in elkaar is gezet door script-kiddies. Desalniettemin blijkt de worm zeer effectief te zijn. Ramen vindt zijn weg door te zoeken naar servers die Red Hat Linux versie 6.2 of 7.0 draaien en binnen te dringen met een methode die beheerdersprivileges verschaft. Als dat eenmaal is gelukt wordt een zogenaamde rootkit ge´nstalleerd die de beveiligingsgaten dichtstopt, een aantal systeemprogramma's vervangt en een eventueel aanwezige index.html vervangt door een pagina met de tekst "RameN Crew--Hackers looooooooooooove noodles." Vervolgens wordt er een mailtje naar 2 Hotmail accounts gestuurd en vervolgt de worm zijn tocht naar de volgende Red Hat Linux server. Hieronder een gedeelte uit het artikel van Security.nl:

De worm werd ontdekt door lezers van de Security Focus 'incidents' mailinglist (thread), die een stijging in het aantal scans voor WU-Ftpd en rpc.statd (diensten die vaak op Unix/Linux servers draaien) waarnamen. In deze diensten zit bij RedHat 6.2 en 7.0 een lek. Er zijn voor de door de worm gebruikte gaten (WU-ftpd, rpc.stad, LPRng) al geruime tijd oplossingen in de vorm van patches beschikbaar, maar een groot aantal beheerders heeft verzuimd deze te installeren.

Als de worm scant gebruikt deze grote hoeveelheden bandbreedte, en valt daardoor ook snel op. De snelheid waarmee de worm grote hoeveelheden nummers kan afscannen is opvallend.

[...] Red Hat waarschuwingen en oplossingen zijn hier te vinden. Updaten van een Red Hat Linux systeem is in grote mate te automatiseren door middel van het programma updateme.

Op SecurityFocus is een analyse van de worm te vinden.

Met dank aan GoGoHaRrY voor de tip.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (68)

Als de worm scant gebruikt deze grote hoeveelheden bandbreedte, en valt daardoor ook snel op.
:? Ik weet niet hoor, maar ik zit niet de hele dag te kijken naar hoeveel bandbreedte er wordt gebruikt. Als het internet langzaam gaat, denk ik

1. Een collega zit weer te Napsteren
2. Een visser heeft met z'n anker een kabeltje verlegd.
3. Moet Windows maar weer eens rebooten.
Als het internet langzaam gaat, denk ik
Of 4. Toch maar eens een andere provider dan Casema gaan zoeken. :)
Jij misschien niet, maar jij bent waarschijnlijk geen beheerder? Ik wel dus, en ik check vrij regelmatig hoevele bandbreedte ons netwerk trekt aangezien we er ook voor moeten dokken.
Gelukkig draai ik de genoemde services volgens mij niet. Maar ik ga meteen maar es kijken...
Ramen vindt zijn weg door te zoeken naar servers die Red Hat Linux versie 6.2 of 7.0 draaien en binnen te dringen met een methode die beheerdersprivileges verschaft. Als dat eenmaal is gelukt wordt een zogenaamde rootkit ge´nstalleerd die de beveiligingsgaten dichtstopt
Dus als ik het goed begrijp dan hoef je zelf je beveiliging niet te verbeteren maar doet deze worm dat voor je ;)

Okee....wat ie nog meer doet behalve verder zoeken staat er niet bij.
Tja dat ding zal wel beginnen met met rootpassword te veranderen. En dan zul je toch met een rescuedisk aan de gang moeten gaan.

Of natuurlijk een reserve-root account hebben (userid 0)
Of natuurlijk een reserve-root account hebben (userid 0)
Die tip heb je van mij :P (en ik weer van bastille-linux)

Maar ook gewoon de boel in single-user mode of init=/bin/bash starten kom je er gewoon in hoor :-)

Tenzij je dat natuurlijk ook dichtgesmeerd hebt...

Voorderest is het wel gewoon dom, om niet af en toe de patches te controleren want ook redhat heeft daar mailinglists voor... (Ben ik geen lid van, want ze staan ook altijd wel op freshmeat, maar toch)
En al die Linux gebruikers maar opscheppen dat ze geen of amper last hebben van virussen :?
Naar mate de populairiteit van Linux beter wordt zullen ook de hoeveelheid virussen stijgen.....
En al die Linux gebruikers maar opscheppen dat ze geen of amper last hebben van virussen
Hallo! wake up! wuftp wordt _niet_ gemaakt door Linux developers. rpc.statd wordt _niet_ gemaakt door Linux developers. Het zijn _externe_ programma's. Vandaar dat ook alleen redhat hier last van heeft, Debian bijvoorbeeld heeft andere executables in de distributie zitten.

Als je dit dus gaat vergelijken met windows virussen dat zit je dus verkeerd. Als je alle bugs van _alle_ windows software optelt en je gaat het dan vergelijken met alle bugs van alle Linux software dan heb je weer een redelijke vergelijking.
Ben het met je eens dat er meer virussen zullen ontstaan als linux meer gebruikt gaat worden. Prijs van de roem zullen we maar zeggen. Ik denk echter dat dit niet een slim virus is. Ze hebben gewoon gekeken waar de beveiligingsfouten in RHlinux zaten. Das niet zo moeilijk te achterhalen (staat op hun website). Is alleen knap stom om als administrator niet regelmatig te kijken of er patches beschikbaar zijn. Die was in dit geval al geruime tijd beschikbaar dus...... eigen schuld denk ik.

BTW, als je gewoon een support contract hebt met RH(wat elke zichzelf respecterende admin heeft als ie RH draait) krijg je gewoon regelmatig alle updates toegestuurd op CD-rom, dus conclusie is. Alle servers die geraakt worden door dit "virus" maken geen gebruik van deze regeling of zijn zo idioot bezig dat ze het niet geinstalleerd hebben.
Het verspreiden van virussen als `I love you' is ook gewoon een vorm van stupiditeit. Het grootste `lek' van ieder OS is en blijft: de gebruiker.
Het is gewoon ook echt moeilijker om een virus onder Linux/Unix te verspreiden. Als het goed is draaien er nauwelijks processen als root, ook niet de daemons in de achtergrond. Het is dus voor virussen en wormen moeilijker om een programma te exploiten en dan ook nog eens het systeem te exploiten.
Wat ik jammer vind aan RedHat is dat zij te weinig moeite besteden aan security, er zijn distributies die een stuk veiliger zijn, dat is dus het mooie aan Linux, ben je niet tevreden met de ene distributie dan neem je een ander die wel op de security let, dat is niet mogelijk met bv Windows.
Het is gewoon ook echt moeilijker om een virus onder Linux/Unix te verspreiden.
Wat misschien verklaart waarom er in de levensduur van 30 jaar die UNIX nu heeft, slechts 12 virussen voor geschreven zijn. Ook dit virus is iets wat alleen mogelijk is door een foutje in de beveiliging van een bepaalde applicatie.

Dat je gelijk wilt beweren dat RH niet voldoende aan de beveiliging van haar distro doet, lijkt me overigens wel wat gechargeerd. Er zijn voor dit lek toch al weer enige tijd patches beschikbaar en kennelijk zijn er veel te veel admins die ze niet bijhouden; klunziheid van de eerste orde IMO.
Verder zijn er diverse distros die afegeleid zijn van een RH-versie en die pikken dan de graantjes mee van de eerder gevonden foutjes in door RH uitgebrachte versies. Nogal wiedes dat die distros dan veiliger zijn.
Daarnaast zijn er ook genoeg mensen die een volledig install willen en dan kun je elke willekeurige distro nemen en er wel een vergelijkbaar lek in vinden.
En RH is nu eenmaal de meest gebuikte distro, met name in de preinstalled computer verkoop; waar ie meestal met zoveel mogelijk toeters en bellen wordt geinstalleerd...

* 786562 Jit
Een virus hoeft geen root te zijn om narigheid uit te halen. Een gemiddelde user heeft wat diskruimte en toegang tot het netwerk, dat is genoeg voor het virus om zich te kunnen verspreiden. En als je homedir leeggegooid wordt dan ben je ook niet blij.

Win95/98/ME die geen enkele vorm van bescherming van het bestandssysteem hebben zijn een paradijs voor virusmakers. Maar ik verwacht dat er nog wel meer Linux of Unix virussen zullen komen nu deze systemen populairder worden op de desktop.

Deze worm is trouwens wel apart, omdat hij servers aanvalt ipv desktops. Maar eigenlijk is het een geautomatiseerde versie van een script kiddie en er is eenvoudig tegen te beveiligen.
Heel goed gezien. Er zijn zelfs hele volkstammen Linux-wannabees die beweren dat het niet eens mogelijk is om een Linux systeem met een virus te besmetten. En helaas zijn daar ook beheerders van hele grote netwerken bij.

Er zijn al enkele specifieke virussen voor Linux en dat zullen er meer worden. Uiteraard komen er ook anti-virus-tools, patches, etc. Hoort er helaas allemaal bij.
Ben ik zeker met je eens.
Ook denk ik dat Linux wel eens veel erger de ... kan zijn doordat de broncode overal bekent is.
Veel meer mensen weten hoe het allemaal zit en wat ze dus moeten doen om zoiets te maken...
Als je een beetje serieus linux wil draaien op een server zonder je de hele dag bezig te houden met checken voor upgrades, deze downloaden en installeren, dan moet je natuurlijk ook gewoon een fatsoenlijk systeem als Debian draaien... Als er security fixes zijn staan deze op security.debian.org en kan je met twee simpele commando's (die prima vanuit cron kunnen) je systeem weer updaten met de laatste fixes (die commando's zijn: 'apt-get update' en 'apt-get upgrade' )

Gemak dient de mens... laat de computer zichzelf maar up-to-date houden... hoef ik alleen maar te checken of alles goed gaat terwijl ik het network-traffic analyze...

(Edit: Zinopbouw effe wat leesbaarder gemaakt...)
Het kan aan mij liggen, maar RedHat heeft in 7.0 standaard de up2date utility er inzitten, en als je die niet (wilt :?) gebruiken, tja dan moet je de gevolgen er maar van voelen.
Als je je bij RH op de mailing-list zet krijg je ook nog automatisch een mailtje wanneer er updates zijn en anders zet je 'm gewoon default in je crontab zodat ie iedere dag ff checked of er updates zijn.
SvMp:
Wie installeert er dan ook RedHat op een server?
IK, en samen met mij ook nog een paar miljoen andere gebruikers.
Ik vind dat je als je een server installeert dat met beleid moet doen. Dus zorgvuldig selecteren welke services je gaat draaien, zelfs downloaden en bepalen welke versies je wilt hebben.
En :? Wat heeft deze opmerking met RH te maken....
Ditzelfde geldt voor iedere server die je installeerd ongeacht het OS!
Daarna natuurlijk wel up-to-date houden
I rest my case :Z
Ik ben het voor een deel wel eens met SvMp, en ik hoeft niet ver te gaan zoeken voor argumenten om redhat niet te gebruiken voor productie servers:

1) Linus Torvalds kraakt laatste Linuxversi e Red Hat af
2) Red Hat 7 bug: maximaal 3 weken uptime
3) Bug in Red Hat Linux zet server open voo r hackers

Het gebeurt de mensen van Red Hat Inc maar al te vaak door bepaalde features als eerste te willen aanbieden de gebruikers met van dit soort bugs opzadelen. Een distributie als Debian heeft een degelijk en _openbaar_ QA beleid, daarom gaan bij deze distributie gaan de ontwikkelingen dan ook niet zo snel en wordt de distributie aantrekkelijker voor stable production environments.
Dit moeten Nederlanders zijn geweest.

Ramen<-->Windows snappie?

-----------

Vergeet je een keer een ;) toe te voegen ben gelijk interessant in plaats van grappig.
Jesus, heel naar als je dit als bedrijf overkomt. Heel dom ook als je die gaten niet dicht hebt gestopt. Zouden bedrijven niet gewoon beter moeten weten en pakketten als FreeBSD installeren ofzo?

Gelukkig gaat het hier om een honor-virus (ego-lol voor de schrijvers) en niet eentje die je pc naar z'n malemoere helpt... ;)


Dubbel-post?? Hehe, was de eerste hoor... :P
Heel dom ook als je die gaten niet dicht hebt gestopt
En nog dommer zelfs als je die servers hebt draaien terwijl je ze niet gebruikt.

Ik snap dit echt niet, als er een bug in een van de Debian packages wordt gevonden krijg ik mail (via de debian security mailinglist), dan log je in de servers, draai je 'apt-get update ; apt-get upgrade' en je security holes zijn weer gefixt. Nou zit de organisatie bij Debian wellicht wat beter in elkaar maar dan nog. Welk bedrijf doet dit nou in hemelsnaam niet??? Het is _zo_ weinig moeite, en het scheelt _zo_ veel rotzooi....
En nog dommer als je dat soort services vanuit het internet bereikbaar houdt.... m.u.v. wu-ftpd.
<zeik mode>
stel je voor dat je je telnet server die je draait kan bereiken vanaf je werk / school. slaat dus nergens op.
als je iets draait heeft dat meestal een reden. (remote administration etc.) zolang je het maar op ip-ranges beveiligd.
</zeik mode>

gewoon je software updaten na deze waarschuwing, en niks aan het handje
open source heeft net als elke medaille natuurlijk zijn keerzijde. Het spreekt echter vˇˇr het OS dat er zo weining virus-achtige programma's voor zijn geschreven. Het is een stuk makkelijker een virus te programmeren voor een OS waar je de boncode van kunt bekijken dan voor een OS waarvan je dat niet kunt. Het spreekt TEGEN windows dat er, ondanks dat er GEEN open source policy op rust, er toch zo veel leaks gevonden worden waarvoor de kwaadwillende programmeur dan weer een virusje o.i.d. kan knippen en plakken.
Natuurlijk zullen er meer virussen voor linux komen, alleen zullen deze veel minder schade kunnen aanrichten (mits je de linux beveiligings principes goed gebruikt.)

Oh ja " gelukkig draai ik genoemde services VOLGENS MIJ niet..." jij was DUS toch wel beheerder ? LOL
Het is een stuk makkelijker een virus te programmeren voor een OS waar je de boncode van kunt bekijken dan voor een OS waarvan je dat niet kunt
Het is tevens veel makkelijk om ze te fixen als je de broncode hebt. Dit is de vergelijking die security experts altijd maken:

Neem 2 brakke muren in een bank waar geld ligt van de hele stad, de een hang je een gordijn voor zodat niemand kan zien dattie brak is, de andere zet je schijnwerpers op en je nodigt de hele stad uit om te helpen repareren.
Welke denk je dat na een jaar het sterkste is? :7
Dit is ook lekker zoiets! :(
Heb net een aantal weken mijn thuis servertje draaien op e-smith, een op redhat 7 gebaseerde linux server dus.....denk lekker veilig. Krijg je zoiets....ik heb verder nauwelijks verstand van linux, dus ik was allang blij dat ik op een makkelijke manier een naar mijn idee goede server en gateway had kunnen opzetten....niet dus....ik heb geen idee hoe dit op te lossen en hoe de beveiliging op te schroeven....
Dat ze die kut script-kiddies dwangarbeid opleggen, evt. bij een bedrijf als symantec, doen ze tenminste eens wat nuttigs.
Heb net een aantal weken mijn thuis servertje draaien op e-smith, een op redhat 7gebaseerde linux server dus.....denk lekker veilig.
als je geen servers draait die je niet nodig hebt, en van de servers die je wel nodig hebt zo nu en dan kijkt of er problemen mee zijn is er niks aan de hand, dan is je systeem zo veilig als maar kan.
Als je geen verstand hebt van Linux waarom gooi je dan een Linux server in de lucht ???
Jij bent toch ook begonnen? Of was jouw eerste linux bak meteen perfect...
Netware 4.20.. :r

Draai dan Windows 2000 Server ofzo.. daar kun je tenminste nog _iets_ nuttigs mee doen.. (of Linux natuurlijk, maar dat is vast wel te moeilijk voor je nou je Netware 4.20 gewend bent)
Noem dan een paar dingen wat je met windows 2000 AVS meer kunt dan met Netware 4.20.

En om even op het Linux verhaal terug te komen:
Voor Novell is meer support beschikbaar dan voor Linux, ik heb het wel over het bedrijfs leven en niet wat er thuis draait want daar heeft iedreen een verschillende mening over.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True