English

◀◁ 뒤로 취약점ID 24015 위험도 40 포트 60008,33567 프로토콜 TCP 분류 BackDoor 상세설명 해당 호스트는 Lion 웜(worm)에 감염된 것으로 보인다. Lion 웜은 DNS 서버용 BIND 소프트웨어에 존재하는 취약점을 가진 Linux 시스템들을 감염시키는 인터넷 웜이다. 만약 Lion 웜이 시스템을 감염시키면 웜은 시스템의 중요한 시스템 정보를 포함한 Email을 내보내고, 다른 해킹 툴들 (t0rn rootkit)을 설치한다. 그리고 웜은 새롭게 감염된 시스템이 또다른 희생 시스템을 찾아 인터넷을 스캐닝하기 시작하게 한다. 감염된 호스트들은 광범위한 분산 서비스 거부(DDOS) 공격들에 사용될 수도 있다. 일단 Lion 웜이 시스템에 침투하게 되면 다음과 같은 작업들을 하게 된다. - china.com 도메인에 있는 주소로 네트워크 세팅을 포함하여 /etc/passwd, /etc/shadow 파일의 내용을 보낸다. - TCP wrapper에 의해 제공되는 호스트 기반의 보호망을 없애기 위해 /etc/hosts.deny를 삭제한다. - 60008/tcp와 33567/tcp 포트에 root shell 백도어를 설치한다. (/etc/inetd.conf를 조작) - 33568/tcp 포트를 사용하는 ssh의 트로이목마 버전을 설치한다. - Syslogd를 죽여서 시스템 로깅을 하지 못하게 한다. - login의 트로이목마 버전을 설치한다. - /etc/ttyhash에 Hash된 패스워드를 찾는다. - /usr/sbin/nscd (선택적 Name Service Caching 데몬)이 ssh의 트로이목마 버전으로 덮어 쓰진다. t0rn rootkit은 스스로를 숨기기 위해 시스템 상에 몇가지 바이너리 파일들을 바꿔놓는다. 바뀌어 지는 파일들은 다음과 같다: du, find, ifconfig, in.telnetd, in.fingerd, login, ls, mjy, netstat, ps, pstree, top - "Mjy"는 로그 엔트리들을 삭제하는데 쓰이는 유틸리티로 '/bin'과 '/usr/man/man1/man1/lib/.lib/'에 위치한다. - in.telnetd 또한 이들 디렉토리들에 위치한다. - setuid shell이 /usr/man/man1/man1/lib/.lib/.x에 위치한다. * 참고 사이트: http://www.iss.net/security_center/static/6679.php http://www.securiteam.com/unixfocus/5EP0O0U3PS.html http://www.sans.org/y2k/lion.htm * 영향을 받는 플랫폼: Microsoft Windows Any version 해결책 SANS (www.sans.org)는 감염된 시스템에 있는 Lion 파일들을 찾아주는 Lionfind라 불리는 유틸리티를 개발했다. 간단하게 내려받아 Uncompress 한 후 lionfind 실행시킬 수 있다. 이 유틸리티는 시스템 상에 있는 의심스러운 파일들을 리스트해 줄 것이다. Lionfind이 시스템으로 부터 바이러스를 제거해 주지는 못하지만 이것이 가능한 유틸리티가 나오면 이 사이트에 공지가 될 것이다. Lionfind는 http://www.sans.org/y2k/lionfind-0.1.tar.gz에서 내려받기가 가능하다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)