Ramen — интернет-червь для Linux web-сервера

Linux/Ramen — интернет-червь для Linux web-сервера. Червь состоит из нескольких компонентов, каждый из которых выполняет определенную функцию.

Червь копирует себя в Linux-систему в виде файла ramen.tgz. Начальная страница инфицированного web-сайта (обычно index.html) может выглядеть следующим образом:

RameN Crew

Hackers looooooooooooooooove noodles.^TM

This site powered by

Червь получает доступ к Linux web-серверу, используя по крайней мере одну известную уязвимость в системе безопасности. Как только получен root-доступ, червь извлекает и записывает себя на главный компьютер, используя исполняемые файлы в формате Elf и shell-скрипты, которые выполняют команды для поиска доступных серверов в интернете.

Червь использует уязвимость в безопасности WU-Ftp сервера. Если не поставлена специальная «заплатка», устраняющая эту уязвимость, то для заражения может быть использован метод, известный как «site exec». Детальную информацию по предотвращению этого вида нападений на серверы, работающие под Redhat 6x, см. здесь.

Вторая, используемая червем «дыра» — в RPC-сервере rpc.statd, которая дает возможность составлять инструкции, использующие функцию «syslog()» для получения root-доступа. «Заплатку», устраняющую эту уязвимость для серверов, работающих под Redhat 6x, см. здесь.

Третья возможность проникнуть на сервер, работающий под Redhat 7, — использование сервиса печати LPRng. Этот сервис также содержит и поддерживает функцию syslog(), которая может быть использована для получения root-доступа. «Заплатку» для этой «дыры» для серверов, работающих под Redhat 7, см. здесь.

Как только червем получен root-доступ, выполняются несколько скриптов и Elf-файлов для дальнейшего распространения червя. А именно, synscan выполняется для того, чтобы найти в интернете серверы, работающие под Redhat версий 6 и 7, и имеющие описанные «дыры» в безопасности системы. Это сканирование запускается внутри программки под названием synscan62.

Побочный эффект работы червя заключается в том, что на web-сервере червь впоследствии удаляет сервис, который использовался для получения доступа. Это существенно уменьшает опасность распространения червя.

Технические подробности о «Ramen» от «Лаборатории Касперского» Вы можете узнать в здесь .