TechnoCNS (테크노CNS)

Linux/Slapper.worm.B -------.cinik virus

아이디 : admin 이름 : Admin

번호 : 53 조회 : 41123
업로드 : 2002-10-31 12:29:01
홈페이지 :

http://jog.co.kr

증상 리눅스 플랫폼의 아파치 웹 서버를 대상으로, OpenSSL 의 취약점을 이용하여 확산된다.

내용 이 웜은 Linux/Slapper.worm 변형으로 기존 원형의 증상과 비슷하며, 만들어지는 파일이름의 변경 , CRONTAB 의 등록, 시스템 정보 메일발송 등의 기능을 가지고 있다. CINIK 이름으로 불리어지기도 한다.

기존의 Linux/Slapper.worm 의 정보는 여기서 확인해 볼 수 있으며 Linux/Slapper.worm.B 에서 나타나는 증상은 다음과 같다.

OpenSSL 의 취약점을 가지고 있는 웹 서버에 공격을 성공하게 되면,

/tmp/.cinik.uu 에 엔코딩 하여 전송한다. 만약 엔코딩 하는 과정에서, '/tmp/.cinik.c' 파일을 오픈할 수 없다면, /usr/bin/wget 을 이용하여 "http://제거됨.home.ro/0/cinik.c" 에서 파일을 다운받아 오게 된다. 전송후 유닉스 명령어 uudecode 를 이용하여 해당 파일을 디코딩 한 후, '.cinik' 로 컴파일 한다.

* 현재 위 웹사이트는 접속되지 않는다.

/usr/bin/uudecode -o /tmp/.cinik.c /tmp/.cinik.uu
gcc -o /tmp/.cinik /tmp/.cinik.c -lcrypto

컴파일 된 .cinik 파일을 로컬아이피 주소로 실행하게된다.

/tmp/.cinik LocalIP

/* 이 웜이 사용하는 포트는 1978 UDP 이다. */

실행후 원형과 달리 '/tmp/.cinik.go' 스크립트 파일을 만든다. 스크립트의 내용은 다음과 같다.

1. "/tmp/.font-unix/.cinik" 디렉토리를 생성한다.

2. 스케쥴에 따라 파일을 실행할 수 있는 Crontab 에 초기 이 스크립트가 실행된 시각의 1분후에 매일 웜을 실행한다.

3. 'find' 명령을 이용하여 /usr ,/var, /tmp, /home,/mnt 디렉토리에서 타입이 파일이며 쓰기와 실행이 가능한 파일을 찾아 웜의 내용으로 복사후, Crontab 에 초기 이 스크립트가 실행된 시각의 2분후에 매일 실행하도록 한다.

4. 'find' 명령을 이용하여 /usr,/var, /tmp, /home,/mnt 디렉토리에서 타입이 디렉토리이며 웹 서버가 동작하고 있는UID 값을 가지고 있는 곳에 웜을 복사한다. 그리고 Contab 에 초기 이 스크립트가 실행된 시각의 3분후에 매일 실행하도록 한다.

5. /tmp/.cinik.status 에 CPU, 메모리, 하드디스크, IP 정보를 입력한다.

6. "cinik_worm@제거됨.com" 메일 주소로 감염된 시스템의 IP 주소제목으로 .cinik.status 정보를 발송한다.

7. 최종적으로 만들어진 /tmp/.cinik.go 파일의 퍼미션을 변경한후 실행한다.

이 정보는 2002년 9월 26일 17시 32분에 최초작성 되었다.

치료방법 1. 웜 프로세스를 종료한다.

# killall -9 .cinik

2. 웜과 관련한 모든 파일을 삭제한다.

# rm -rf /tmp/.cinik /tmp/.cinik.c /tmp/.cinik.uu /tmp/.cinik.go
/tmp/.font-unix/.cinik

- 전체 디렉토리를 검사하여 .cinik 파일을 찾아 삭제한다.

# find / -name '.cinik' -exec rm -rf {} \; -print

3. crontab 에서 Slapper.Worm.B 와 관련한 내용을 찾아 모두 삭제한다.

- crontab 의 내용을 확인해 본다.
# crontab -l

- 웜과 관련한 내용이 있을경우 '-e' 명령어를 사용하여 편집한다.
# crontab -e

참고사항 이 취약점에 노출되어 있는 사용자는 다음과 같이 권장한다 :

1. OpenSSL 의 업데이트 (mod_ssl 사용자)

2. 아파치 설정파일 'httpd.conf' 의 정보노출 제한

ServerTokens ProductOnly
ServerSignature Off

위와 같이 두개의 지시어를 설정한다.

3. 아파치 1.3.24 를 포함한 이하의 버전을 사용하는 경우 최신버전으로 업그레이드

CERT Advisory CA-2002-27

http://www.cert.org/advisories/CA-2002-27

OpenSSL :

- 취약점 정보확인

http://www.openssl.org/news/secadv_20020730.txt

- 최신버전 받기

http://www.openssl.org/source/

윗글 :

filter를 이용한 스팸제거

밑글 :

스팸메일 차단방법

From:61.98.172.6 / Absolute number:89

번호	제목	첨부파일	크기	전송	이름	업로드
72	fortigate 암호 새로 넣기			0	관리자	11-06
71	linux 시간 설정			0	관리자	05-16
70	ftp???	vsftp.txt	8KB	11037	관리자	09-06
69	사설 ip 대역- 범위			0	관리자	04-07
68	proftpd-postgresql-1.3.0-7.fc6.i386	proftpd-postgr	22KB	6187	차니	11-27
67	proftpd-mysql-1.3.0-7.fc6.i386	proftpd-mysql-	22KB	6194	차니	11-27
66	proftpd-ldap-1.3.0-7.fc6.i386	proftpd-ldap-1	26KB	6029	차니	11-27
65	proftpd-1.3.0-7.fc6.i386	proftpd-1.3.0-	953KB	5879	차니	11-27
64	proftpd-1.3.0kr	proftpd-1.3.0k	1.54MB	5928	차니	11-27
63	proftpd-1.3.0kr1	proftpd-1.3.0k	1.54MB	5671	차니	11-27
62	proftpd-1.2.10-1.fc1.i386.rpm	proftpd-1.2.10	698KB	7640	관리자	11-27
61	Package DescriptionsAll packages i	SUSELinux10.txt	244KB	369652	관리자	10-28
60	메일설정 설명			0	관리자	06-14
	Re: 메일설정 설명			0	관리자	06-14
59	iptable 문서	iptables.ZIP	374KB	6692	차니	06-10
	Re: iptable 문서			0	관리자	07-13
	Re: iptable 문서			0	관리자	07-13
58	fedora 2.0 설치			0	관리자	06-07
57	리눅스 커널 취약성이			0	관리자	02-25
55	telnet for ftp port	cgitelnet.zip	6KB	6196	관리자	06-24
54	filter를 이용한 스팸제거	hcode_spam_fil	91KB	6244	Admin	11-29
53	Linux/Slapper.worm.B -------.cinik ◀			0	Admin	10-31
52	스팸메일 차단방법			0	Admin	08-13
	Re: 스팸메일 차단방법			0	Admin	08-13
	Re: 스팸메일 차단방법			0	관리자	11-28
51	리눅스 관리자를위한 파워 팁			0	관리자	05-24
50	coyote - last all zip 리라 코요테	Coyote Linux.e	4.13MB	8738	관리자	05-20
	coyote - last all zip 리라 코요	msn-enable.tar	160KB	6515	관리자	05-22
49	홈페이지 검색사이트 등록팁			0	관리자	05-02
48	유동 ip의 고정화 -forwarding 포워딩	forwarding.txt	3KB	6938	관리자	04-12