On Thu, 18 Jan 2001, Mike Bola�os wrote:
>
> Ramen, el nuevo worm que acecha la red, ha puesto en
> jaque a cientos
> de miles de servidores Linux ya que utiliza dos
> conocidos agujeros de
> seguridad de la instalaci�n convencional del
> software de Red Hat, una
> de las principales empresas del sector.
>
> Pablo Ruis�nchez ([EMAIL PROTECTED]) - Aunque por
> s� mismo no es extremadamente
> peligroso, su capacidad de propagaci�n es muy alta
> -seg�n un programador
> rumano tarda 15 minutos en escanear 130.000
> direcciones de internet-
> y todav�a se desconoce si el creador del virus tiene
> acceso a las m�quinas
> infectadas.
>
> Ramen se expande escaneando la red en busca de
> servidores con software
> Red Hat 6.2 o 7.0 e intenta acceder a trav�s de los
> dos agujeros. Cuando
> lo consigue instala un root kit que modifica los
> sistemas de seguridad
> e instala una serie de programas que reemplazan las
> funciones del sistema.
> Asimismo cambia la home de los servidores por una
> p�gina que dice "RameN
> Crew--Hackers looooooooooooove noodles" (Ramen
> tambi�n significa fideo
> en japon�s.)
>
> A continuaci�n el gusano env�a un e-mail a dos
> cuentas de la red y vuelve
> a escanear internet.
>
> Expertos de seguridad de la Bugtraq mailing list
> (http://www.securityfocus.com/bugtraq/archive)
> detectaron el virus a principios de semana y
> aseguraron que la infecci�n,
> lejos de estancarse, aumenta la velocidad.
>
Aunque esta noticia mas parece digna de la seccion de sucesos de la Extra,
tiene algo de verdad. Aunque en principio este programa esta
disenhado para atacar maquinas con RedHat 6.2-7.0 y FreeBSD la verdad solo
ha sido exitoso en el caso de RedHat, FreeBSD-3.4 no utiliza wu_ftpd como
demonio que presta servicios de ftp, ademas de que ese servicio es
automaticamente enjaulado en un directorio desde el cual no se tiene
acceso al resto del sistema de archivos, tambien el wu_ftpd es un
"port" por lo que no es instalado en el sistema a no ser que el
administrador lo haga manualmente. Por otra parte, la version vulnerable
de wu_ftpd es incluida en todas las distribuciones de linux, ya sea como
"contrib" o predefinidamente en el sistema y no es un problema exclusivo
de RedHat.
El modo de operacion es simple, tanto que manualmente se podria hacer, es
mas, cuando se reporto ese problema se menciono mas una forma de atacar
una maquina vulnerable, este programa "Ramen" lo unico que hace es juntar
una serie de herramientas ya existentes y emplearlas contra un sistema mal
administrado.
Finalmente, desde hace meses se dijo, se reporto y se corrigio
ese problema con el wu_ftpd lo mismo que con el servicio NFS que viene con
linux. De manera que si a alguien le pasa algo en sus sistema es por pura
negligencia.
JImmy
--
�Desea desuscribirse? Escriba a [EMAIL PROTECTED] con
el tema "unsubscribe".
