XUNDI <安全焦点>
xundi@xfocus.org
http://www.xfocus.org
2001-01-22
关于ramen.tgz大家可以在这个地址下载:http://www.xfocus.org/html/data/tools/ramen.tgz
下面是这个包中文件功能的描述,好让大家有个具体的了解:
asp: 一个配置xinetd的文件.此程序会启动一个伪造的WEBSERVER.
asp62: HTTP/0.9-兼容服务程序一直开启,主要是为了提供/tmp/ramen.tgz的下载.
asp7:与上面一个一样,是RedHat 7的编译版本.
bd62.sh: 在RedHat6.2上做设置工作的程序(安装wormserver,去掉漏洞程序,限制匿名FTP).
bd7.sh:和上面程序一样,为RedHat 7.0的配置脚本
getip.sh:获得外部的IP地址脚本。
hackl.sh:读取.l文件和传递地址给lh.sh
hackw.sh:读取.w文件和传递地址给wh.sh
index.html: HTML文档,替换原来系统上的index.html
l62: LPRng格式字符串漏洞的exploit程序
l7:和上面一样,但编译在RedHat 7的程序
lh.sh: 驱动执行LPRng exploit程序,并带几个不同的选项
randb62: 选取一随机class-B子网进行扫描
randb7:和上面一样,但编译在RedHat 7系统上
s62: statdx漏洞的 exploit程序
s7:和上面一样,但编译在RedHat 7系统上
scan.sh: 从randb上获得一classB网络并运行synscan程序
start.sh:替换所有index.html;运行getip;判断系统是否为RedHat 6.2或者7.0并运行相应的
bd*.sh 和 start*.sh脚本
start62.sh: 后台启动scan.sh, hackl.sh, 和 hackw.sh
start7.sh:和上面start62.sh功能一样,在RedHat 7.0上运行
synscan62:修改过的synscan工具,记录信息到.w和.l文件中,这个synscan是从
http://www.psychoid.lam3rz.de/synscan.html站点中的synscan修改而来的。
synscan7: 和上面一样,但编译在RedHat 7上
w62:venglin版 wu-ftpd exploit程序
w7: 和上面程序一样,但编译在RedHat 7上
wh.sh: 驱动脚本调用"s"和"w"程序来对提供的目标进行入侵.
wu62:明显是作者的一个疏忽,从字面来看就类似w62,也是一个wu-ftpd exploit,但
没有地方调用过
其他关于这个程序的分析很多,不再介绍。顺便加上bbs.nsfocus.com中scz提到的入侵检测,防治
和入侵后的修改:
ramen 病毒是很善良的,在攻击完成后会自动把她攻击的3个漏洞给修补上
(redhat 6.2的rpc.statd,wu-ftpd, redhat7.0的lpd),但是会在系统上起
一个进程扫描下面的机器,会占去大量网络带宽.
欲知您的机器是否被感染,请telnet localhost 27374,如果输出一堆东西
您就中奖了.
防治很简单,请升级您的redhat 6.2的 nfs-utils , wu-ftpd , redhat 7.0
的LPRng,具体下载可以到ftp://updates.redhat.com/
如果已经中奖,请做下列工作
1.升级上面的软件包
2. vi /etc/rc.d/rc.sysinit,去掉 /usr/src/.poop/start7.sh
3. rm -rf /usr/src/.poop
4. redhat 6.2 关闭asp服务(在/etc/inetd.conf) 即去掉
asp stream tcp nowait root /sbin/asp一行
redhat 7.0 : rm /etc/xinetd.d/asp
5. vi /etc/ftpuser 看看是否要打开ftp/anonymous用户,ramen关闭了这
两个用户
6.rm -f /usr/sbin/asp /sbin/asp
7. 恢复/etc/hosts.deny文件,恢复您系统上所有index.html文件
|
