广杰博客

  • 首页
  • IT资讯
  • IT运维
  1. 首页
  2. IT运维
  3. 正文

清除Linux系统上的蠕虫程序Ramen

04/01/2011 1322点热度 0人点赞 0条评论

Linux系统中出现了一种称之为Ramen的蠕虫程序。它可能会入侵数千台运行RedHat 6.2/7.0 操作系统的服务器。Ramen利用了两个已知的Linux安全漏洞。它首先利用 RPC.statd 和 wu-FTP 的漏洞扫描网络上使用 RedHat 6.2/7.0 的服务器,然后尝试取得系统权限,一旦取得之后,会将一些一般的系统服务加以替换,并且将一个称之为“root kit”的程序码植入安全漏洞中,此外 Ramen 还会将站点上的首页给换成 :“RameNCrew--Hackers looooooooooooove noodles”的字样。最后,Ramen会寄两封信给两个电子信箱,并且开始入侵其他的RedHat服务器。
Ramen只针对RedHat来进行侵入,不过危害不大,但是传播的速度却惊人,15分钟内可以扫描约 130,000 个站点。
Ramen是很善良的,在攻击完成后会自动把它攻击的3个漏洞给修补上(Redhat 6.2的rpc.statd、wu-ftpd,Redhat7.0的lpd),但是会在系统上起一个进程扫描下面的机器,会占去大量网络带宽。由此可能造成其他的主机的误会以及大量占用网络带宽,使系统瘫痪。
我们可以看出,该程序其实并不能称为病毒,而是一个利用了安全漏洞的类似蠕虫的程序。该程序的作者Randy Barrett也站出来声明说,这只是一个安全漏洞,类似于这样的安全漏洞在各种网络服务器上都存在,他在写Ramen程序的时候也不是针对Linux的。
防治的方法很简单,请升级你的redhat 6.2的 nfs-utils , wu-ftpd , redhat 7.0的LPRng,具体下载可以到ftp://updates.redhat.com/。
检查系统是否被该程序侵入的方法是,看看有没有/usr/src/.poop这个目录被建立,以及27374端口是否被打开,如果有的话就表明已经被Ramen侵入了。
看一个系统是否感染了Ramen蠕虫,主要基于以下几点:
1. 存在/usr/src/.poop目录
2. 存在/sbin/asp文件
3. 本地端口27374被打开(用netstat -an命令)
可以用以下的perl脚本程序检测:
#!/bin/perl
# Script that checks for signs of ramen infection
# Patrick Oonk, patrick@security.nl
# based on Daniel Martin's description at
# http://www.securityfocus.com/archive/75/156624
# No guarantees, do with this script whatever you like (BSD license)
$detected = 0;
print "Ramen worm checker.\nChecking...\n";
open(F,"/etc/redhat-release") ;
print "You are running ",〈F〉,"\n";;
close(F);
@suspect = ("/usr/src/.poop", "/usr/src/.poop/ramen.tgz","/tmp/ramen.tgz");
foreach (@suspect) {
if(-e) {
print "found $_\n";
$detected++;
}
}

open(N, "/bin/netstat -an|") or print "Could not open /bin/netstat\n";    while(〈N〉) {

   if (/:27374.*LISTEN/) {

   print "Ramen webserver detected on port 27374\n";

   $detected++;

   last;

   }

   }

   close(N);

   if ($detected) {

   print "$detected telltale signs of ramen found. Get professional help\n";

   } else {

   print "Wheee! No ramen signs found!\n";

   }

清除Ramen蠕点的步骤:

1. 删除/usr/src/.poop目录和/sbin/asp文件。

2. 如果存在/etc/xinetd.d/目录,则删除/etc/xinetd.d/asp。

3. 删除/etc/rc.d/rc.sysinit文件中涉及到/usr/src/.poop的行。

4. 删除/etc/inetd.conf文件中涉及到/sbin/asp的行。

5. 重新启动系统和手动杀掉以下进程synscan,start.sh, scan.sh, hackl.sh, hackw.sh。

6. 升级ftp, rpc.statd, lpr等程序。

因为Ramen是通过wu-ftp, rpc.statd, lpr等程序侵入系统的,所以在对这几个程序升级前最好关闭这些程序,这样可以有效地防止被Ramen感染

标签: 暂无
最后更新:03/19/2017

guangjie

这个人很懒,什么都没留下

点赞
下一篇 >

文章评论

您需要 登录 之后才可以评论
最新 热点 随机
最新 热点 随机
Red Hat Enterprise Linux 9 发布,大量组件升级 windows10 家庭版添加hyper-v虚拟机组件 Red Hat Enterprise Linux 8.5 GA 发布 Rocky Linux 8.4 GA正式版发布下载 Rocky Linux 8.3 首个候选版本发布 CentOS 8.3 (2011) ISO镜像下载发布 CentOS Linux 落幕 CentOS Stream 上位 CentOS Linux 7.9 (2009) iso镜像下载 Windows 10 2020年10月更新ISO下载 ubuntu ssh通过密钥登陆服务器
Linux LVM使用 幻灯片轮换代码 kubernetes国内阿里云yum仓库镜像 php程序网站顶部出现warning:Cannot modify header information memcached 查看所有keys命令 Red Hat Enterprise Linux 7.8 正式发布 Discuz爆高危漏洞 官方已经发布补丁 MSSQL可用内存少于最小查询内存的解决办法 \x64\x6f\x63\x75\x6d\x65\x6e\x74网页木马解密 使用diskpart命令创建vhd虚拟硬盘
标签聚合
linux android redhat php_curl springboot Hyper-V Windows Server 2012 nginx
友情链接
  • linux运维
  • 郑州SEO

COPYRIGHT © 2021 gjie.cn. ALL RIGHTS RESERVED.

Theme Kratos Made By Seaton Jiang

豫ICP备07002435号-8