pC.NET

Welcome to oscc.kr


 Linux/Slapper.worm.B -------.cinik virus
 2021-08-01 10:44:33
Hit : 79

작성자 : 피시넷

증상 리눅스 플랫폼의 아파치 웹 서버를 대상으로, OpenSSL 의 취약점을 이용하여 확산된다.
 
내용 이 웜은 Linux/Slapper.worm 변형으로 기존 원형의 증상과 비슷하며, 만들어지는 파일이름의 변경 , CRONTAB 의 등록, 시스템 정보 메일발송 등의 기능을 가지고 있다. CINIK 이름으로 불리어지기도 한다.

기존의 Linux/Slapper.worm 의 정보는 여기서 확인해 볼 수 있으며 Linux/Slapper.worm.B 에서 나타나는 증상은 다음과 같다.

OpenSSL 의 취약점을 가지고 있는 웹 서버에 공격을 성공하게 되면,

/tmp/.cinik.uu 에 엔코딩 하여 전송한다. 만약 엔코딩 하는 과정에서, '/tmp/.cinik.c' 파일을 오픈할 수 없다면, /usr/bin/wget 을 이용하여 "http://제거됨.home.ro/0/cinik.c" 에서 파일을 다운받아 오게 된다. 전송후 유닉스 명령어 uudecode 를 이용하여 해당 파일을 디코딩 한 후, '.cinik' 로 컴파일 한다.

* 현재 위 웹사이트는 접속되지 않는다.

/usr/bin/uudecode -o /tmp/.cinik.c /tmp/.cinik.uu
gcc -o /tmp/.cinik /tmp/.cinik.c -lcrypto

컴파일 된 .cinik 파일을 로컬아이피 주소로 실행하게된다.

/tmp/.cinik LocalIP

/* 이 웜이 사용하는 포트는 1978 UDP 이다. */

실행후 원형과 달리 '/tmp/.cinik.go' 스크립트 파일을 만든다. 스크립트의 내용은 다음과 같다.

1. "/tmp/.font-unix/.cinik" 디렉토리를 생성한다.

2. 스케쥴에 따라 파일을 실행할 수 있는 Crontab 에 초기 이 스크립트가 실행된 시각의 1분후에 매일 웜을 실행한다.

3. 'find' 명령을 이용하여 /usr ,/var, /tmp, /home,/mnt 디렉토리에서 타입이 파일이며 쓰기와 실행이 가능한 파일을 찾아 웜의 내용으로 복사후, Crontab 에 초기 이 스크립트가 실행된 시각의 2분후에 매일 실행하도록 한다.

4. 'find' 명령을 이용하여 /usr,/var, /tmp, /home,/mnt 디렉토리에서 타입이 디렉토리이며 웹 서버가 동작하고 있는UID 값을 가지고 있는 곳에 웜을 복사한다. 그리고 Contab 에 초기 이 스크립트가 실행된 시각의 3분후에 매일 실행하도록 한다.

5. /tmp/.cinik.status 에 CPU, 메모리, 하드디스크, IP 정보를 입력한다.

6. "cinik_worm@제거됨.com" 메일 주소로 감염된 시스템의 IP 주소제목으로 .cinik.status 정보를 발송한다.

7. 최종적으로 만들어진 /tmp/.cinik.go 파일의 퍼미션을 변경한후 실행한다.

이 정보는 2002년 9월 26일 17시 32분에 최초작성 되었다.
 
치료방법 1. 웜 프로세스를 종료한다.

# killall -9 .cinik

2. 웜과 관련한 모든 파일을 삭제한다.

# rm -rf /tmp/.cinik /tmp/.cinik.c /tmp/.cinik.uu /tmp/.cinik.go
/tmp/.font-unix/.cinik

- 전체 디렉토리를 검사하여 .cinik 파일을 찾아 삭제한다.

# find / -name '.cinik' -exec rm -rf {} \; -print

3. crontab 에서 Slapper.Worm.B 와 관련한 내용을 찾아 모두 삭제한다.

- crontab 의 내용을 확인해 본다.
# crontab -l

- 웜과 관련한 내용이 있을경우 '-e' 명령어를 사용하여 편집한다.
# crontab -e
 
참고사항 이 취약점에 노출되어 있는 사용자는 다음과 같이 권장한다 :

1. OpenSSL 의 업데이트 (mod_ssl 사용자)

2. 아파치 설정파일 'httpd.conf' 의 정보노출 제한

ServerTokens ProductOnly
ServerSignature Off

위와 같이 두개의 지시어를 설정한다.

3. 아파치 1.3.24 를 포함한 이하의 버전을 사용하는 경우 최신버전으로 업그레이드


CERT Advisory CA-2002-27

http://www.cert.org/advisories/CA-2002-27

OpenSSL :

- 취약점 정보확인

http://www.openssl.org/news/secadv_20020730.txt

- 최신버전 받기

http://www.openssl.org/source/
  피시넷
안녕하세요.
피시넷입니다.
 2830
 41


filter를 이용한 스팸제거
스팸메일 차단방법..

Copyright (C) 1997-2025 All Rights Reserved.

Powered by
DNS server, DNS service 우분투 리눅스 웹서비스 AbuseIPDB Contributor Badge