Lion, più pericoloso di Ramen

Come il suo predecessore, Ramen, Lion colpisce i server Linux vulnerabili ad una nota falla di Bind e vi si installa sottraendo password e seminando nel sistema vittima porte d'accesso abusive. Nessuna cura ancora disponibile

Lion, più pericoloso di RamenWeb - A far scattare l'allarme rosso questa volta è "Lion", un worm che pare abbia molte parentele con Ramen, un vermicello per Linux che qualche tempo fa ha conosciuto una diffusione senza precedenti.

Secondo l'istituto di ricerca "The System Administration, Networking and Security" (SANS), questo worm rappresenta la mutazione più pericolosa di Ramen, in grado di diffondersi ad una velocità definita "preoccupante" e capace di sottrarre i file delle password dai server "infetti".

Lion sfrutta la famigerata falla di sicurezza "TSIG" del server BIND venuta alla luce lo scorso gennaio: questo gli consentirebbe di guadagnare i massimi privilegi sulla macchina vittima e sottrarre le password di sistema inviandole, nella loro forma criptata, ad un sotto-dominio di China.com.
Risulta chiaro come gli autori del worm possano tentare di decrittare i file delle password e guadagnare accesso sui server "bucati". Oltre a questo, i cracker potrebbero avvalersi di backdoor, ossia di accessi abusivi, che Lion tenta di creare una volta installatosi all'interno di un server.
101 Commenti alla Notizia Lion, più pericoloso di Ramen
Ordina
  • Per gli amici e la Redazione P.I.
    By Alien.

    "Today with the discovery of W32.Winux, we have received the
    world's first known virus capable of spreading on both Windows and
    Linux computer systems. While people do not share executables
    between these operating systems, this new proof of concept virus
    represents a technology innovation that may lead to more
    destructive viruses in the future. Our Emergency Virus Response
    Team Ô discovered this new virus and has analyzed it," said Steven
    Sundermeier, Product Manager at Central Command Inc.   

    Details:
    Name:   : Win32.Winux / Linux.Winux
    Aliases   :
    Detection added: March 27, 2001
    Spread Method : by infecting files under both Windows and Linux
    operating system

    Comments:
    W32.Winux is a non-memory resident virus. It can replicate under
    Windows 95/98/Me/NT/2000 (Win32) and Linux systems and infects PE
    files (Windows executable) and ELF files (Linux executable). The
    infection method is basic. It searches for all files located in
    current folder and it's parent folders and opens every file. If a
    target file is a PE or ELF executable the appropriate infection
    routine is called:   

    Win32 infection routine:
    Infection is done by overwriting the. reloc section of PE
    executable. If the .reloc section size is not large enough to hold
    the virus body, the file is not infected. It uses the following
    API functions to infect other files:   

    FindFirstFileA, FindNextFileA, FindClose, CreateFileA,
    CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, CloseHandle,
    VirtualAlloc, VirtualFree, WriteFile, SetFilePointer,
    GetCurrentDirectoryA, SetCurrentDirectoryA   

    Linux infection routine:
    ELF executables are infected by the overwriting instructions at the
    entry point. The original code is then stored at the end of ELF
    executable. When an infected ELF application is executed, the virus
    code takes control, spreads further and then passes control to the
    host file.   

    "It is believed to have originated out of the Czech Republic and
    does not have a destructive payload." concluded Sundermeier.   

    W32.Winux contains internal text strings. It also contains the
    following text: "[Win32/Linux.Winux] multi-platform virus by
    Benny/29A" and "'This GNU program is covered by GPL."   
    non+autenticato
  • Buona parte dei problemi di sicurezza in un sistema che offre servizi di rete sono legati al fatto che i servizi girano in account privilegiati.
    Sono convinto che per migliorare la sicurezza di un sistema NON dovrebbero esistere servizi eseguiti da root.
    Credo che questa sia la pecca piu' grave dei sistemi unix like (NT lo conosco poco e niente, quindi non so dire).
    Vedo che solo da poco tempo l'approccio sta leggermente cambiando, e si sta diffondendo l'abitudine di eseguire i servizi in account specifici, magari con un opportuno chroot, nonostante siano piu' di 20 anni che si scoprono a ruota problemi di questo tipo.
    D'altronde esistono grossi applicativi, come Oracle RDBMS, che non hanno alcun problema a girare in un normale account utente.
    Di certo, sapere che un servizio viene eseguito da root non mi fara' mai dormire sonni tranquilli.
    Su un mio sistema, solo la mia coscienza dovrebbe girare sotto rootSorride
    non+autenticato
  • certo, ma servizi che devono avere l'accesso a tutti i gli utenti del sistema per esempio, tipo ftp, sendmail etc, devono per forza girare con permessi maggiori di quelli di un utente normale senò non potrebbero lavorare..
    credo...
    PS: ti senti cosi a posto con la coscenza da permetterti di farla girare da root?Con la lingua fuoriP



    - Scritto da: Origin
    > Buona parte dei problemi di sicurezza in un
    > sistema che offre servizi di rete sono
    > legati al fatto che i servizi girano in
    > account privilegiati.
    > Sono convinto che per migliorare la
    > sicurezza di un sistema NON dovrebbero
    > esistere servizi eseguiti da root.
    > Credo che questa sia la pecca piu' grave dei
    > sistemi unix like (NT lo conosco poco e
    > niente, quindi non so dire).
    > Vedo che solo da poco tempo l'approccio sta
    > leggermente cambiando, e si sta diffondendo
    > l'abitudine di eseguire i servizi in account
    > specifici, magari con un opportuno chroot,
    > nonostante siano piu' di 20 anni che si
    > scoprono a ruota problemi di questo tipo.
    > D'altronde esistono grossi applicativi, come
    > Oracle RDBMS, che non hanno alcun problema a
    > girare in un normale account utente.
    > Di certo, sapere che un servizio viene
    > eseguito da root non mi fara' mai dormire
    > sonni tranquilli.
    > Su un mio sistema, solo la mia coscienza
    > dovrebbe girare sotto rootSorride
    non+autenticato
  • Da http://www.newsletter.duke.it/linux/insider-081.sh...

    << Troppi virus per Windows, meglio Linux. Cominciano ad esserci utenti che non ne possono piu? dei virus. Action Aid, un ente umanitario con sedi in 30 nazioni, ha deciso di installare Linux sui PC dei propri uffici sia per risparmiare ma anche per via dei danni economici e perdite di dati causati dai virus di Windows come Naked Wife, Emmanuel e Love Bug, tanto per citare quelli emersi negli ultimi mesi.
    Kerry Scott, direttore IT di Action Aid, ha dichiarato che gli inconvenienti e le interruzioni causati dai virus comportano costi incalcolabili: alcuni uffici non potendo inviare/ricevere e-mail per 2-3 giorni sono stati obbligati ad utilizzare il telefono con notevoli incrementi dei costi. Da qui la decisione di Action Aid di adottare Linux. >>

    Solo per la cronaca.
    non+autenticato
  • ma porco cane....
    dal basso della mia inesperienza voglio dire un paio di cose..
    1) bind non é linux, se bind cia un buco linux che caxxo centra?
    2) in una distribuzione linux il bind ce lo metti se ti interessa quel servizio...se ti interessa quel servizio e lo configuri devi sapere anche che é un programma e come tale va aggiornato...
    cosi come un utente aggiorna office98 a office 2000, etc.
    3) se io programmatore sfigato faccio un programma che fa cagare e non va, non dico che é il sistema operativo che non va, ma il programma...

    se queste cose sono ovvie per un ragazzino bamboccio inutile quale sono io, chi non ci arriva e posta opinioni tipo quelle precedenti che ho letto deve per forza essere un idiota o spero per lui? un perditempo che ha voglia di fare polemica inutile..
    av salut

    PS: avete rotto il cazzo di associare l'utente linux al ragazzino nertz brufoloso, che va a finire che fra un po nella scatola della redhat ci mettono un flacone di topexan...
    non+autenticato


  • - Scritto da: CaRpjGjaN
    > ma porco cane....
    > dal basso della mia inesperienza voglio dire
    > un paio di cose..
    > 1) bind non é linux, se bind cia un buco
    > linux che caxxo centra?
    > 2) in una distribuzione linux il bind ce lo
    > metti se ti interessa quel servizio...se ti
    > interessa quel servizio e lo configuri devi
    > sapere anche che é un programma e come tale
    > va aggiornato...
    > cosi come un utente aggiorna office98 a
    > office 2000, etc.
    > 3) se io programmatore sfigato faccio un
    > programma che fa cagare e non va, non dico
    > che é il sistema operativo che non va, ma il
    > programma...
    >
    > se queste cose sono ovvie per un ragazzino
    > bamboccio inutile quale sono io, chi non ci
    > arriva e posta opinioni tipo quelle
    > precedenti che ho letto deve per forza
    > essere un idiota o spero per lui? un
    > perditempo che ha voglia di fare polemica
    > inutile..
    > av salut
    >
    > PS: avete rotto il cazzo di associare
    > l'utente linux al ragazzino nertz brufoloso,
    > che va a finire che fra un po nella scatola
    > della redhat ci mettono un flacone di
    > topexan...
    io lo uso.
    ciao
    non+autenticato
  • Quello che dici e' giusto ma vorrei farti notare che questi distinguo che fai sono applicabili anche a windows.
    Prediamo ad esempio i vari server nt non aggiornati su cui ultimamente degli smanettoni hanno cancellato l'home page. Questi attacchi sono stati effettuati sfruttando bachi del componente asp. Un componente che volendo si puo' non installare e che non fa parte del sistema operativo. Prendiamo anche ad esempio i vari virus/worm che hanno sfruttato outlook appoggiandosi al windows scripting host. Sia outlook che il WSH non fanno parte del sistema operativo, si possono installare o meno. Bene pero' in questo caso chi accusa windows di mancare in sicurezza usa queste falle in alcuni software esterni come biglietto da visita per criticare la sicurezza dell'intero SO.

    Ciao

    - Scritto da: CaRpjGjaN
    > ma porco cane....
    > dal basso della mia inesperienza voglio dire
    > un paio di cose..
    > 1) bind non é linux, se bind cia un buco
    > linux che caxxo centra?
    > 2) in una distribuzione linux il bind ce lo
    > metti se ti interessa quel servizio...se ti
    > interessa quel servizio e lo configuri devi
    > sapere anche che é un programma e come tale
    > va aggiornato...
    > cosi come un utente aggiorna office98 a
    > office 2000, etc.
    > 3) se io programmatore sfigato faccio un
    > programma che fa cagare e non va, non dico
    > che é il sistema operativo che non va, ma il
    > programma...
    >
    > se queste cose sono ovvie per un ragazzino
    > bamboccio inutile quale sono io, chi non ci
    > arriva e posta opinioni tipo quelle
    > precedenti che ho letto deve per forza
    > essere un idiota o spero per lui? un
    > perditempo che ha voglia di fare polemica
    > inutile..
    > av salut
    >
    > PS: avete rotto il cazzo di associare
    > l'utente linux al ragazzino nertz brufoloso,
    > che va a finire che fra un po nella scatola
    > della redhat ci mettono un flacone di
    > topexan...
    non+autenticato


  • - Scritto da: Dev/Null
    > Quello che dici e' giusto ma vorrei farti
    > notare che questi distinguo che fai sono
    > applicabili anche a windows.
    > Prediamo ad esempio i vari server nt non
    > aggiornati su cui ultimamente degli
    > smanettoni hanno cancellato l'home page.
    > Questi attacchi sono stati effettuati
    > sfruttando bachi del componente asp. Un
    > componente che volendo si puo' non
    > installare e che non fa parte del sistema
    > operativo. Prendiamo anche ad esempio i vari
    > virus/worm che hanno sfruttato outlook
    > appoggiandosi al windows scripting host. Sia
    > outlook che il WSH non fanno parte del
    > sistema operativo, si possono installare o
    > meno. Bene pero' in questo caso chi accusa
    > windows di mancare in sicurezza usa queste
    > falle in alcuni software esterni come
    > biglietto da visita per criticare la
    > sicurezza dell'intero SO.

    gia'... peccato che tutti quei componenti sono prodotti dalla stessa casa che ha fatto il sistema operativo.
    non+autenticato
  • > gia'... peccato che tutti quei componenti
    > sono prodotti dalla stessa casa che ha fatto
    > il sistema operativo.

    E allora?
    Quale sarebbe la differenza?
    Non stiamo parlando della compagnia che ha prodotto il software ma del software.
    non+autenticato


  • - Scritto da: Dev/Null
    > > gia'... peccato che tutti quei componenti
    > > sono prodotti dalla stessa casa che ha
    > fatto
    > > il sistema operativo.
    >
    > E allora?
    > Quale sarebbe la differenza?
    > Non stiamo parlando della compagnia che ha
    > prodotto il software ma del software.

    Gia'. Mi ricorda quella storia di un po' di anni fa sul cavo parallelo della stampante: il produttore di PC diceva che doveva fornirlo il produttore di stampanti, mentre il produttore di stampanti diceva che doveva fornirlo il produttore di PC.
    Io a quel tempo mi sono comprato un PC Epson e una stampante sempre Epson. Ovviamente il cavo me lo sono dovuto comprare a parte ...
    Voglio dire che e' sempre facile scaricare le responsabilita', ma qualcuno riesce a scaricarla anche su se stesso ...
    non+autenticato
  • Andare a vedere al CeBIT di Hanover.
    Non perdono più occasione per denigrare LINUX.
    Usano tutti i mezzi.
    Vedere x credere:

    http://news.bbc.co.uk/hi/english/business/newsid_1...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 22 discussioni)