Unix-maskiner åpne for datasnoker

Antallet DDoS-slaver øker stadig drastisk på grunn av nye automatiserte verktøy og mange mottakelige Internett-maskiner.

Organisasjonen Computer Emergency Response Team (CERT) sendte på fredag ut en advarsel om to nye sikkerhetshull. Aktivitetsnivået på utnyttelse av disse tyder på at angriperne bruker egne script for å automatisere angrep.

Sikkerhetshullene som blir brukt er et valideringsproblem i rpc.statd, og to valideringsproblemer i wu-ftpd. Disse drøftes i CA-2000-17 og CA-2000-13.

Av de to sikkerhetshullene i wu-ftpd er "Site exec" den som har blitt observert oftest.

Den største delen av maskinene som har blitt kapret kjører forskjellige versjoner av Red Hat Linux med usikre standardkonfigurasjoner der en mottakelig versjon av rpc.statd startes automatisk ved installering eller oppgradering. Disse installasjonene har bidratt til at angrepene har vært suksessfulle.

Hackere søker etter mottakelige maskiner ved å scanne store grupper av maskiner etter følgende tjenester: sunrpc (portmap) på port 111/udp og 111/tcp eller ftp på port 21/tcp

I mange tilfeller rapporteres det om utnyttingsforsøk både mot rpc.statd og wu-ftpd rett etter å ha mottatt en forespørsel. Det finnes også, i følge CERT, beviser for at angriperne bruker orm-lignende angrep basert på disse svakhetene.

Det er flere likheter i verktøyene som brukes av databøllene.

Siden mai 2000 har det blitt observert mer enn seks forskjellige versjoner av et såkalt rootkit med navnet t0rnkit. Rootkits (verktøy for å skaffe seg administrator-rettigheter) er ikke en ny idé, men har vært i bruk i flere år. Det viktige her er å være klar over hvor vanlige disse er og å vite hvordan man fjerner angriperen fra en maskin. Flere versjoner inneholder et installasjonsprogram som prøver på en eller flere av følgende:

  • Drepe syslogd-prosessen
  • Gi innbryteren varsel om andre loggingsverktøy ved å søke syslogd-konfigurasjonen etter "@"-tegnet
  • Lagring av et brukerkonfigurert passord for bruk med trojanske hester i /etc/ttyhash
  • Installering av en trojansk hest-versjon av ssh konfigurert til å lytte til en gitt port med gitte ssh-nøkler lagret i katalogen /usr/info/.t0rn. Den trojanske hesten installeres som /usr/sbin/nscd og startes med "/usr/sbin/nscd -q". Den samme kommandoen legges til i /etc/rc.d/rc.sysinit for å starte daemonen ved oppstart.
  • Lokalisering av konfigurasjon for den trojanske hesten for å skjule filnavn, prosessnavn og lignende i en katalog med navnet /usr/src/.puta
  • Bytte ut flere systemfiler med kopier som er trojanske hester:

    /bin/login

    /sbin/ifconfig

    /bin/ps

    /usr/bin/du

    /bin/ls

    /bin/netstat

    /usr/sbin/in.fingerd

    /usr/bin/find

    /usr/bin/top

  • Installering av en passordsniffer og systemfil-renser i /usr/src/.puta
  • Forsøk på å starte telnet, shell og finger i /etc/inetd.conf ved å fjerne eventuelle "#" fra begynnelsen av linjen
  • Gi beskjed til innbryteren dersom ordet "ALL" er i filen /etc/hosts.deny
  • Noen versjoner forsøker å endre rpc.statd og wu-ftpd med versjoner som ikke er mottakelige
  • Restart av /usr/sbin/inetd
  • Starte syslogd

De fleste versjonene inneholder også en trojansk hest-versjon av tcp_wrappers i RPM-format med navnet tcpd.rpm. Det mistenkes at t0rnkit utvikles i stor stil for tiden, så den eksakte virkemåten kan endres i versjoner fremover.

I tillegg til å installere rootkit er det også observert en vesentlig økning i installasjonen av såkalte distribuerte denial of service-verktøy (DDoS) gjennom disse to sårbarhetene. Ved en anledning fant CERT så mange som 560 maskiner i 220 forskjellige lokasjoner som var en del av Tribe Flood Network 2000 (TFN2K), som er et DDoS-nettverk. Maskinene som ble identifisert hadde alle blitt angrepet gjennom sikkerhetshull i rpc.statd eller wu-ftpd. De vanligste DDoS-verktøyene for tiden er Tribe Flood Network og Stacheldraht 1.666+smurf+yps.

Løsningen CERT foreslår er at alle nettsteder sjekker versjonene de bruker av rpc.statd og wu-ftpd og passer på at eventuelle mottiltak er gjort.

Hvis du har mistanke om at maskinen din er angrepet forslår CERT at du følger denne oppskriften for å fjerne verktøyene.

Til toppen