Áõ»ó ¸®´ª½º Ç÷§ÆûÀÇ ¾ÆÆÄÄ¡ À¥ ¼¹ö¸¦ ´ë»óÀ¸·Î, OpenSSL ÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÏ¿© È®»êµÈ´Ù.
³»¿ë ÀÌ ¿úÀº Linux/Slapper.worm º¯ÇüÀ¸·Î ±âÁ¸ ¿øÇüÀÇ Áõ»ó°ú ºñ½ÁÇϸç, ¸¸µé¾îÁö´Â ÆÄÀÏÀ̸§ÀÇ º¯°æ , CRONTAB ÀÇ µî·Ï, ½Ã½ºÅÛ Á¤º¸ ¸ÞÀÏ¹ß¼Û µîÀÇ ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. CINIK À̸§À¸·Î ºÒ¸®¾îÁö±âµµ ÇÑ´Ù.
±âÁ¸ÀÇ Linux/Slapper.worm ÀÇ Á¤º¸´Â ¿©±â¼ È®ÀÎÇØ º¼ ¼ö ÀÖÀ¸¸ç Linux/Slapper.worm.B ¿¡¼ ³ªÅ¸³ª´Â Áõ»óÀº ´ÙÀ½°ú °°´Ù.
OpenSSL ÀÇ Ãë¾àÁ¡À» °¡Áö°í ÀÖ´Â À¥ ¼¹ö¿¡ °ø°ÝÀ» ¼º°øÇÏ°Ô µÇ¸é,
/tmp/.cinik.uu ¿¡ ¿£ÄÚµù ÇÏ¿© Àü¼ÛÇÑ´Ù. ¸¸¾à ¿£ÄÚµù ÇÏ´Â °úÁ¤¿¡¼, '/tmp/.cinik.c' ÆÄÀÏÀ» ¿ÀÇÂÇÒ ¼ö ¾ø´Ù¸é, /usr/bin/wget À» ÀÌ¿ëÇÏ¿© "http://Á¦°ÅµÊ.home.ro/0/cinik.c" ¿¡¼ ÆÄÀÏÀ» ´Ù¿î¹Þ¾Æ ¿À°Ô µÈ´Ù. Àü¼ÛÈÄ À¯´Ð½º ¸í·É¾î uudecode ¸¦ ÀÌ¿ëÇÏ¿© ÇØ´ç ÆÄÀÏÀ» µðÄÚµù ÇÑ ÈÄ, '.cinik' ·Î ÄÄÆÄÀÏ ÇÑ´Ù.
* ÇöÀç À§ À¥»çÀÌÆ®´Â Á¢¼ÓµÇÁö ¾Ê´Â´Ù.
/usr/bin/uudecode -o /tmp/.cinik.c /tmp/.cinik.uu
gcc -o /tmp/.cinik /tmp/.cinik.c -lcrypto
ÄÄÆÄÀÏ µÈ .cinik ÆÄÀÏÀ» ·ÎÄþÆÀÌÇÇ ÁÖ¼Ò·Î ½ÇÇàÇϰԵȴÙ.
/tmp/.cinik LocalIP
/* ÀÌ ¿úÀÌ »ç¿ëÇÏ´Â Æ÷Æ®´Â 1978 UDP ÀÌ´Ù. */
½ÇÇàÈÄ ¿øÇü°ú ´Þ¸® '/tmp/.cinik.go' ½ºÅ©¸³Æ® ÆÄÀÏÀ» ¸¸µç´Ù. ½ºÅ©¸³Æ®ÀÇ ³»¿ëÀº ´ÙÀ½°ú °°´Ù.
1. "/tmp/.font-unix/.cinik" µð·ºÅ丮¸¦ »ý¼ºÇÑ´Ù.
2. ½ºÄÉÁì¿¡ µû¶ó ÆÄÀÏÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Â Crontab ¿¡ Ãʱâ ÀÌ ½ºÅ©¸³Æ®°¡ ½ÇÇàµÈ ½Ã°¢ÀÇ 1ºÐÈÄ¿¡ ¸ÅÀÏ ¿úÀ» ½ÇÇàÇÑ´Ù.
3. 'find' ¸í·ÉÀ» ÀÌ¿ëÇÏ¿© /usr ,/var, /tmp, /home,/mnt µð·ºÅ丮¿¡¼ ŸÀÔÀÌ ÆÄÀÏÀÌ¸ç ¾²±â¿Í ½ÇÇàÀÌ °¡´ÉÇÑ ÆÄÀÏÀ» ã¾Æ ¿úÀÇ ³»¿ëÀ¸·Î º¹»çÈÄ, Crontab ¿¡ Ãʱâ ÀÌ ½ºÅ©¸³Æ®°¡ ½ÇÇàµÈ ½Ã°¢ÀÇ 2ºÐÈÄ¿¡ ¸ÅÀÏ ½ÇÇàÇϵµ·Ï ÇÑ´Ù.
4. 'find' ¸í·ÉÀ» ÀÌ¿ëÇÏ¿© /usr,/var, /tmp, /home,/mnt µð·ºÅ丮¿¡¼ ŸÀÔÀÌ µð·ºÅ丮À̸ç À¥ ¼¹ö°¡ µ¿ÀÛÇÏ°í ÀÖ´ÂUID °ªÀ» °¡Áö°í ÀÖ´Â °÷¿¡ ¿úÀ» º¹»çÇÑ´Ù. ±×¸®°í Contab ¿¡ Ãʱâ ÀÌ ½ºÅ©¸³Æ®°¡ ½ÇÇàµÈ ½Ã°¢ÀÇ 3ºÐÈÄ¿¡ ¸ÅÀÏ ½ÇÇàÇϵµ·Ï ÇÑ´Ù.
5. /tmp/.cinik.status ¿¡ CPU, ¸Þ¸ð¸®, Çϵåµð½ºÅ©, IP Á¤º¸¸¦ ÀÔ·ÂÇÑ´Ù.
6. "cinik_worm@Á¦°ÅµÊ.com" ¸ÞÀÏ ÁÖ¼Ò·Î °¨¿°µÈ ½Ã½ºÅÛÀÇ IP ÁÖ¼ÒÁ¦¸ñÀ¸·Î .cinik.status Á¤º¸¸¦ ¹ß¼ÛÇÑ´Ù.
7. ÃÖÁ¾ÀûÀ¸·Î ¸¸µé¾îÁø /tmp/.cinik.go ÆÄÀÏÀÇ Æ۹̼ÇÀ» º¯°æÇÑÈÄ ½ÇÇàÇÑ´Ù.
ÀÌ Á¤º¸´Â 2002³â 9¿ù 26ÀÏ 17½Ã 32ºÐ¿¡ ÃÖÃÊÀÛ¼º µÇ¾ú´Ù.
Ä¡·á¹æ¹ý 1. ¿ú ÇÁ·Î¼¼½º¸¦ Á¾·áÇÑ´Ù.
# killall -9 .cinik
2. ¿ú°ú °ü·ÃÇÑ ¸ðµç ÆÄÀÏÀ» »èÁ¦ÇÑ´Ù.
# rm -rf /tmp/.cinik /tmp/.cinik.c /tmp/.cinik.uu /tmp/.cinik.go
/tmp/.font-unix/.cinik
- Àüü µð·ºÅ丮¸¦ °Ë»çÇÏ¿© .cinik ÆÄÀÏÀ» ã¾Æ »èÁ¦ÇÑ´Ù.
# find / -name '.cinik' -exec rm -rf {} \; -print
3. crontab ¿¡¼ Slapper.Worm.B ¿Í °ü·ÃÇÑ ³»¿ëÀ» ã¾Æ ¸ðµÎ »èÁ¦ÇÑ´Ù.
- crontab ÀÇ ³»¿ëÀ» È®ÀÎÇØ º»´Ù.
# crontab -l
- ¿ú°ú °ü·ÃÇÑ ³»¿ëÀÌ ÀÖÀ»°æ¿ì '-e' ¸í·É¾î¸¦ »ç¿ëÇÏ¿© ÆíÁýÇÑ´Ù.
# crontab -e
Âü°í»çÇ× ÀÌ Ãë¾àÁ¡¿¡ ³ëÃâµÇ¾î ÀÖ´Â »ç¿ëÀÚ´Â ´ÙÀ½°ú °°ÀÌ ±ÇÀåÇÑ´Ù :
1. OpenSSL ÀÇ ¾÷µ¥ÀÌÆ® (mod_ssl »ç¿ëÀÚ)
2. ¾ÆÆÄÄ¡ ¼³Á¤ÆÄÀÏ 'httpd.conf' ÀÇ Á¤º¸³ëÃâ Á¦ÇÑ
ServerTokens ProductOnly
ServerSignature Off
À§¿Í °°ÀÌ µÎ°³ÀÇ Áö½Ã¾î¸¦ ¼³Á¤ÇÑ´Ù.
3. ¾ÆÆÄÄ¡ 1.3.24 ¸¦ Æ÷ÇÔÇÑ ÀÌÇÏÀÇ ¹öÀüÀ» »ç¿ëÇÏ´Â °æ¿ì ÃֽŹöÀüÀ¸·Î ¾÷±×·¹À̵å
CERT Advisory CA-2002-27
http://www.cert.org/advisories/CA-2002-27
OpenSSL :
- Ãë¾àÁ¡ Á¤º¸È®ÀÎ
http://www.openssl.org/news/secadv_20020730.txt
- ÃֽŹöÀü ¹Þ±â
http://www.openssl.org/source/
|
|