[PR]今日のニュースは
「Infoseek モバイル」

ラーメン・ワーム(インターネットのウィルス)拡大

 

ワーム「ラーメン」が拡大 Linuxサーバーに感染 2001-01-19

-Linuxサーバーに対するワーム「ラーメン」が17日(米国時間)、感染を広げていると警告された。これは、簡単に入手できるハッキング・ツールを寄せ集めて作られた自己増殖型のワームで、「レッドハット6.2」および「7.0」のよく知られたセキュリティホールを利用してLinuxサーバーに侵入する。感染すると、ウェブサーバーのメーンページを「RameN Crew-Hackerslooooooovenoodles」というメッセージに書き換える。その後、2つのアカウントに電子メールを送り、次の標的を求めてインターネットのスキャンを開始する。17日朝現在、数百台もしくは数千台のLinuxサーバーが感染しているという。このワームはウェブページを書き換える以外には破壊的な活動は行わないが、スキャン作業に使用する帯域の使用量が大きいこと、および感染システムが遠隔操作される危険性が指摘されている。レッドハットは既に、これらのセキュリティホールを修正するパッチを配布している。

 

ここ数日、巨大なftp-scanが連発しているのですが、警告を出した某大学より、以下のinformationをもらいました。
これは、既に報道がある「Linux worm」(いわゆるラーメンworm)で、「Red Hat Linux ver 6.2 and 7.0 に含まれる
wu-ftpd FTP
rpc.statd STATD
LPRng printer?
のsecurity holeを突くもののようです。実際には、上記問題はLinuxに限ったことではないはずです。
・Unix serverを運用している方
・研究室内で誰かがLinuxをinstallしている方
は、上記問題の存在を認識するとともに、deamonを止めるか改善するか適切な措置を早急にとってください。被害者ではなく、加害者になる可能性があります。

 

Linux worm uses its noodle

'Ramen' targets known security holes in Red Hat 6.2 and 7.0.
By Kevin Poulsen January 17, 2001 1:41 PM PT
An Internet worm cobbled together from pre-existing scripts is spreading rapidly through Red Hat Linux systems, leaving in its wake a trail of defaced web pages touting the virtues of oriental noodles.
The so-called 'Ramen' worm is a bulky, but effective, collection of hacking tools rolled up into a package. A modified scanning program searches broad swaths of the Internet for Red Hat Linux versions 6.2 and 7.0 installations. The scanner then launches attacks against those machines with publicly available exploits of three known vulnerabilities and spreads into each crackable box.
On Red Hat 6.2 systems, the worm exploits vulnerabilities in wu-ftpd and rpc.statd. On version 7.0, it attacks LPRng. Detailed information on fixing all three holes can be found in SecurityFocus's vulnerability database (see insert).
The worm's strategy is not dissimilar to that employed by the 1988 Morris worm, the most successful self-propelled contagion to date. But unlike the Morris worm, on every system Ramen penetrates it promptly kills the service that allowed it to break in -- thus preventing the kind of multiple infection that caused the Morris worm to grind infected computers into seizure.
But while the Morris worm was an academic exercise gone horribly wrong, Ramen serves a decidedly sophomoric end: On every web server it infects, it replaces the main web page with the message "Hackers looooooooooooove noodles," signed by the "RameN Crew."

shomen-homeへ