Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Угроза: вирусы и черви

Рубрика: Безопасность -> Уязвимости Linux-сервера
Метки: | | |
Среда, 21 января 2009 г.
Просмотров: 5086
Подписаться на комментарии по RSS

Отличие вируса от червя состоит в том, что вирусы для своего распространения требуют вмешательства пользователя, в то время как черви размножаются самостоятельно.

     Ущерб вирусы и черви могут причинить не только пользовательским данным, но и всей сети, особенно, если речь идет о червях. Некоторые черви могут породить огромное количество трафика - фактически по сети будут передаваться одни черви, а не полезные данные.


     Для Linux написано всего несколько вирусов. Причин тому несколько. Во-первых, сложная многопользовательская модель существенно мешает вирусам размножаться: для того, чтобы причинить системе существенный ущерб, вирусу нужны права root, которые непросто получить. Во-вторых, традиции открытого исходного кода означают, что код вируса будет очень быстро изучен. В-третьих, Linux-пользователей намного меньше, чем Windows-пользователей, и крекерам неинтересно писать вирусы для Linux: написать такой вирус очень сложно, а эффекта от него будет мало.

     Первый компьютерный червь появился в ноябре 1988г. Его написал Роберт Моррис, когда еще был студентом. Червь Морриса, использующий уязвимости sendmail и fingerd, быстро распространялся по просторам Интернета (в это время Интернет состоял в из узлов университетов и правительственных/военных институтов).

     Червь подключался к удаленной машине, на которой была запущена программа sendmail. Потом он вызывал командный режим и запускал небольшую С-программу, которая переносила на атакуемую машину нужные файлы.

     Если трюк с sendmail не сработал, червь вызывал переполнение буфера в демоне fingerd с целью достижения того же самого результата. Когда цель была достигнута, цикл повторялся, но уже с помощью RSH (Remote Shell) и REXEC (Remote Execute) - это третья стадия распространения червя. С помощью метода brute force подбирались пароли пользователей. Используя эту информацию, червь пытался зарегистрироваться на других машинах.

     Червь распространился в Интернете очень бысто. В результате некоторые машины были инфицированы несколько раз. Моррис и не думал, что начнется такая вирусная эпидемия, поэтому и не предусмотрел, чтобы червь мог узнавать уже зараженные компьютеры.

     В сентябре 2002г. появился Linux-червь - Slapper. Он использовал переполнение буфера в библиотеке OpenSSL, которая используется многими Web-серверами. Червь поражал Linux-системы, на которых был установлен Web-сервер Apache с поддержкой SSL (протокол HTTPS). В результате у автора червя была огромная армия зараженных компьютеров, которые по одной его команде «пойдут в нападение» на любой компьютер в сети.

     Червь Adore появился в 2001г. Червь сканировал блоки IP-адресов, выбранные случайным образом, на наличие определенных версий LRP (принтер), rpc.statd, WU-FTPD и BIND. Найдя на какой-то машине один из этих сервисов, он пытался скомпрометировать систему и скопировать себя на машину-жертву, где «прятался» в каталоге /usr/lib/lib. Кроме этого, червь заменял программу ps своей троянской версией - она не отображала червя в списке процессов.

     С червем Adore связан еще один червь - Ramen, который также использовал для своего размножения сервисы LRP, WU-FTPD, BIND и rpc.statd. Ramen устанавливал на инфицированном компьютере небольшой HTTP-сервер, работающий по порту 27374/ТСР.

     Черви представляют серьезную угрозу для безопасности системы и сети в целом. Они основаны на эксплоитах, благодаря чему распространяются очень быстро.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)