Últimos Cambios
	Blog personal: El hilo del laberinto

Un nuevo gusano amenaza el mundo LINUX

Última Actualización: 4 de Mayo de 2.001 - Viernes

El gusano Lion (león) infecta máquinas Linux no actualizadas, comprometiendo su seguridad y propagándose de forma exponencial.

Lion utiliza una vulnerabilidad en el servidor de nombres "bind", el más utilizado en Internet. Dicha vulnerabilidad fue solucionada hace ya dos meses, pero todavía existen infinidad de sistemas no actualizados conectados a Internet.

El nuevo gusano busca servidores aleatorios en Internet, intentando localizar una versión del "bind" vulnerable. En cuanto localiza una, aprovecha la vulnerabilidad para ejecutar código en dicho servidor que:

1. Instala el "rootkit" t0rn. Un "rookit" son un conjunto de herramientas diseñadas para hacer más difícil la detección y extirpación de un intruso informático, y suelen incorporar puertas traseras para proporcionar un subsiguiente acceso fácil al sistema por parte del atacante.

2. Envía los ficheros "/etc/passwd", "/etc/shadow" y varios datos de red a una dirección bajo el dominio "china.com".

3. Elimina "/etc/hosts.deny", suprimiendo la protección perimetral del software "tcp wrapper".

4. Instala puertas traseras de shells "root" en los puertos 60008 y 33567.

5. Instala una puerta trasera "SSH" en el puerto 33568.

6. Mata al proceso "syslogd", encargado de los logs del sistema.

7. Instala un troyano en "login".

8. Busca claves en "/etc/ttyhash".

9. Se sustituye el demonio "/usr/sbin/nscd" (un demonio de caché del servicio de nombres) por un troyano SSH.

10. El "rootkit" sustituye los siguientes ejecutables, para ocultar la intrusión: du, find, ifconfig, in.telnetd, in.fingerd, login, ls, mjy, netstat, ps, pstree, top.

11. Se instala un shell con privilegios de "root" o administrador en "/usr/man/man1/man1/lib/.lib/.x".

Una vez que Lion se instala en una nueva máquina, dicha máquina inicia sondeos aleatorios de la red, en busca de más sistemas vulnerables. Su propagación, por tanto, es exponencial.

SANS Institute, organización especializada en seguridad informática, ha desarrollado una herramienta para detectar los archivos instalados por Lion, llamada "lionfind". Su URL se encuentra al final de este documento.

La recomendación es:

• Verificar si nuestra versión de "bind" es vulnerable.
• Si es el caso:
  1. Desconectar la máquina de la red.
  2. Verificar si hemos sido atacados ya por Lion.
     • Si es así, desinfectar el sistema
  3. Instalar una versión actualizada de "bind".

Como ya hemos dicho, la vulnerabilidad que aprovecha este gusano está solucionada desde hace dos meses; los administradores de sistemas que mantienen sus máquinas actualizadas, estarán seguros.

Más información:

• Lion Worm

• SANS Institute: Alert - A Dangerous new worm is spreading on the Internet

• Virus: Linux/Lion.worm, amenaza para servidores Linux

• LIONFIND

• Analysis of the T0rn rootkit

• Vulnerabilidades en BIND

• 21/01/2001 - Un gusano muy activo afecta a sistemas Linux de todo el mundo

• Un nuevo gusano amenaza el mundo LINUX (Página residente en Hispasec)
• Hispasec
• Artículos
• La Página de Jesús Cea Avión

©2001 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS