世界各地的系統管理員報告說本周三另外一種自傳播的蠕蟲已經開始感染Linux系統了。5月16日出現的這種Linux蠕蟲是白色騎士,還是惡意代碼呢?
這種叫干酪(Cheese)的蠕蟲病毒本質上是一個自傳播的補丁。它不同以往的病毒,而是表現為:進入那些已經被LiOn蠕蟲(一種惡意蠕蟲)危急的服務器,關閉服務器後門,從而增加系統的安全性。
美國Carnegie Mellon大學計算機突發事件反應組的Kevin Houle說:“在某些情況下,干酪蠕蟲會移走後門。不過因為許多Linux系統用不同的互聯網文件,所以它也可能對這些類型的系統不起作用。” 不過,對於大部分受到Li0n(獅子)蠕蟲感染的計算機,干酪蠕蟲將會修理其中的問題,然後用該服務器去搜索互聯網上另外的已經遭受到Li0n蠕蟲攻擊的計算機。
但這並不意味這該補丁蠕蟲就是好的,它的出發點可能是善意的,但是這樣並不能解決問題。本質上,它 的行為同惡意入侵者做的是一樣的--未經授權擅自修改系統,並且攻擊其他站點。盡管我們不知道現在該蠕蟲散布到何種程度了,但是據說該蠕蟲會傳播的很快。
在過去幾個月裡,Linux蠕蟲已經開始在互聯網上傳播了,並感染了那些有安全漏洞的系統。一月,Ramen蠕蟲危急服務器,損壞網頁。三月,出現在中國的Li0n蠕蟲開始在互聯網上傳播,它通過發送電子郵件報告受到感染機器的種種信息。以後又有兩種蠕蟲,Adore(愛慕)蠕蟲和Sadmind/IIS蠕蟲,引起同樣的後果。
這些蠕蟲都是利用Linux應用程序的種種漏洞工作。這些應用包括文件傳輸、互聯網打印程序、遠程管理工具等等。
Linux系統中存在著大量的這種監聽互聯網數據的應用。這些程序也叫服務,在服務器上監聽著尋址特殊地址和端口的數據。在互聯網上有很多端口已經約定俗成,比如網頁浏覽應用用的是80和8080的端口等。
LiOn蠕蟲安裝的後門就是監聽10008端口的數據。干酪蠕蟲就是利用了該後門感染系統的。關閉這個後門後,它就開始尋找其他10008端口開放的系統。
干酪蠕蟲查找易受攻擊的機器的特性已經受到很多安全系統管理員的注意。在SecurityFocus.com的事件郵件列表中,許多人說見到了該蠕蟲的廣泛的搜索的結果。在郵件列表裡有網友說:“我的防火牆日志就象瘋了一樣,全是企圖連接端口10008的記錄。”
在事件郵件列表中有人帖出了一個受到干酪蠕蟲攻擊後留在服務器上的文件,內容大意如下:
#運行/etc/inetd.conf 刪除啟動內核
#受到LiOn感染後...
#把你的系統搞的比以前還糟糕
#該代碼不是惡意所為
#事實上,該代碼的編寫是善意行為
但是安全服務和惡意代碼研究公司TruSecure的技術主管Roger Thompson強調說該程序一般是出於惡意的。他認為,我們可不喜歡那些未經邀請就搞亂我計算機的東西。
摘自:http://linux.chinabyte.com