清除Linux上的蠕蟲程式Ramen(轉)[@more@]　　 Linux系統中出現了一種稱之為Ramen的蠕蟲程式。它可能會入侵數千臺執行RedHat 6.2/7.0 作業系統的伺服器。Ramen利用了兩個已知的Linux安全漏洞。它首先利用 RPC.statd 和 wu-FTP 的漏洞掃描網路上使用 RedHat 6.2/7.0 的伺服器，然後嘗試取得系統許可權，一旦取得之後，會將一些一般的系統服務加以替換，並且將一個稱之為“root kit”的程式碼植入安全漏洞中，此外 Ramen 還會將站點上的首頁給換成 :“RameNCrew--Hackers looooooooooooove noodles”的字樣。最後，Ramen會寄兩封信給兩個電子信箱，並且開始入侵其他的RedHat伺服器。

　　 Ramen只針對RedHat來進行侵入,不過危害不大，但是傳播的速度卻驚人，15分鐘內可以掃描約 130,000 個站點。

　　 Ramen是很善良的,在攻擊完成後會自動把它攻擊的3個漏洞給修補上(Redhat 6.2的rpc.statd、wu-ftpd,Redhat7.0的lpd),但是會在系統上起一個程式掃描下面的機器,會佔去大量網路頻寬。由此可能造成其他的主機的誤會以及大量佔用網路頻寬，使系統癱瘓。

　　我們可以看出，該程式其實並不能稱為病毒，而是一個利用了安全漏洞的類似蠕蟲的程式。該程式的作者Randy Barrett也站出來宣告說，這只是一個安全漏洞，類似於這樣的安全漏洞在各種網路伺服器上都存在，他在寫Ramen程式的時候也不是針對Linux的。

　　防治的方法很簡單,請升級你的redhat 6.2的 nfs-utils , wu-ftpd , redhat 7.0的LPRng,具體下載可以到。

　　檢查系統是否被該程式侵入的方法是，看看有沒有/usr/src/.poop這個目錄被建立，以及27374埠是否被開啟，如果有的話就表明已經被Ramen侵入了。

　　看一個系統是否感染了Ramen蠕蟲，主要基於以下幾點：

　　 1. 存在/usr/src/.poop目錄

　　 2. 存在/sbin/asp檔案

　　 3. 本地埠27374被開啟（用netstat -an命令）

　　可以用以下的perl指令碼程式檢測：

　　

QUOTE:

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/10617542/viewspace-946713/，如需轉載，請註明出處，否則將追究法律責任。

上一篇： Linux 是更好的選擇(轉)

下一篇： BSD 簡史(轉)

請登入後發表評論登入

全部評論

BSDLite

博文量
1872
訪問量

3928589

清除Linux上的蠕蟲程式Ramen(轉)

最新文章

相關文章