世界各地的系统管理员报告说本周三另外一种自传播的蠕虫已经开始感染Linux系统了。5月16日出现的这种Linux蠕虫是白色骑士,还是恶意代码呢?
这种叫干酪(Cheese)的蠕虫病毒本质上是一个自传播的补丁。它不同以往的病毒,而是表现为:进入那些已经被LiOn蠕虫(一种恶意蠕虫)危急的服务器,关闭服务器后门,从而增加系统的安全性。
美国Carnegie Mellon大学计算机突发事件反应组的Kevin Houle说:“在某些情况下,干酪蠕虫会移走后门。不过因为许多Linux系统用不同的互联网文件,所以它也可能对这些类型的系统不起作用。” 不过,对于大部分受到Li0n(狮子)蠕虫感染的计算机,干酪蠕虫将会修理其中的问题,然后用该服务器去搜索互联网上另外的已经遭受到Li0n蠕虫攻击的计算机。
但这并不意味这该补丁蠕虫就是好的,它的出发点可能是善意的,但是这样并不能解决问题。本质上,它 的行为同恶意入侵者做的是一样的--未经授权擅自修改系统,并且攻击其他站点。尽管我们不知道现在该蠕虫散布到何种程度了,但是据说该蠕虫会传播的很快。
在过去几个月里,Linux蠕虫已经开始在互联网上传播了,并感染了那些有安全漏洞的系统。一月,Ramen蠕虫危急服务器,损坏网页。三月,出现在中国的Li0n蠕虫开始在互联网上传播,它通过发送电子邮件报告受到感染机器的种种信息。以后又有两种蠕虫,Adore(爱慕)蠕虫和Sadmind/IIS蠕虫,引起同样的后果。
这些蠕虫都是利用Linux应用程序的种种漏洞工作。这些应用包括文件传输、互联网打印程序、远程管理工具等等。
Linux系统中存在着大量的这种监听互联网数据的应用。这些程序也叫服务,在服务器上监听着寻址特殊地址和端口的数据。在互联网上有很多端口已经约定俗成,比如网页浏览应用用的是80和8080的端口等。
LiOn蠕虫安装的后门就是监听10008端口的数据。干酪蠕虫就是利用了该后门感染系统的。关闭这个后门后,它就开始寻找其他10008端口开放的系统。
干酪蠕虫查找易受攻击的机器的特性已经受到很多安全系统管理员的注意。在SecurityFocus.com的事件邮件列表中,许多人说见到了该蠕虫的广泛的搜索的结果。在邮件列表里有网友说:“我的防火墙日志就象疯了一样,全是企图连接端口10008的记录。”
在事件邮件列表中有人帖出了一个受到干酪蠕虫攻击后留在服务器上的文件,内容大意如下:
#运行/etc/inetd.conf 删除启动内核
#受到LiOn感染后...
#把你的系统搞的比以前还糟糕
#该代码不是恶意所为
#事实上,该代码的编写是善意行为
但是安全服务和恶意代码研究公司TruSecure的技术主管Roger Thompson强调说该程序一般是出于恶意的。他认为,我们可不喜欢那些未经邀请就搞乱我计算机的东西。
摘自:http://linux.chinabyte.com