aA
Neseniai sukurtas interneto kirminas, pavadintas “Lion” ir išnaudojantis “BIND 8” saugumo skyles. BIND - siunčiamų duomenų paketo identifikavimo kodas apie kurio silpnąsias vietas jau buvo rašyta sausį.
“Lion” plinta per programą, pavadinimu “randb”, kuri atsitiktinai pasirenka ir peržiūri B klasės tinklus, ištirdama 53 jungtį (port). Kai tik ji surandama, tuomet patikrinama ar sistema yra pažeidžiama, jei taip, tuomet sistema yra ištiriama ir įdiegiamas “t0rn rootkit” modulis, teigia penktadienį publikuotas SANS instituto, besirūpinančio sistemų administravimo ir tinklų saugumo problemomis, straipsnis.

Anot SANS, į sistemą patekęs kirminas nusiunčia katalogų “/etc/passwd, /etc/shadow” turinį ir dar kai kuriuos tinklo parametrus adresu “china.com”. Be to jis ištrina katalogą “/etc/hosts.deny”, sumažindamas TCP protokolo apsaugą.

Portai “60008/tcp” ir “33567/tcp” tampa “atsarginių durų” pagrindine terpe, o perdirbta įsilaužimams “ssh” programa patalpinama “33568/tcp” porte. SANS straipsnyje pažymima, kad tuo metu priėjimas prie sistemos yra pažeistas, o prisijungimo vardais ir slaptažodžiais pasitikėti jau nebegalima.

Įdiegiama virusu užkrėsta prisijungimo prie sistemos programa. Ji ieško slaptažodžio kataloge “/etc/ttyhash”, o vietoj “/usr/sbin/nscd” (Name Service Caching daemon) yra įdiegiama apkrėsta virusu “ssh” programa. “t0rn rootkit” pakeičia kai kuriuos sistemos parametrus taip, kad ji negalėtų aptikti viruso.

SANS išplatino programą, aptinkančią “Lion” ir be to ragina sistemų administratorius “užkamšyti” BIND skyles.

www.DELFI.lt
Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį.