-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2001-0004 JPCERT/CC 2001-04-18 <<< JPCERT/CC Alert(Linux Worm) 2001-04-18 >>> 2001年初頭より Ramen, Lion, Adore と、Linux オペレーティングシステム に感染する新種のワームが広まりつつあります。すでに JPCERT/CC でも、こ れらのワームに関するインシデント報告を受け付けています。 これらのワームでは BIND, LPRng, rpc.statd, wu-ftpd のセキュリティ上の 弱点を利用しています。感染力が強く、場合によっては影響範囲も大きいため、 早急な対応を強くお勧めします。 すでに各 Linux ディストリビュータから本件に関するパッチまたは更新され たパッケージが出されています(この文書の終りにある URL をご参照下さい)。 適切にこれらのパッチを適用、またはパッケージの更新を行うことを強くお勧め します。 これらのワームに関して CIAC (Computer Incident Advisory Capability)か らレポートが出されています。詳細については以下の URL から Fiscal Year 2001 のリンクをたどって、それぞれの文書を入手の上ご覧下さい。 http://www.ciac.org/cgi-bin/index/bulletins L-040 "The Ramen Worm", CIAC INFORMATION BULLETIN L-064 "The Lion Internet Worm DDOS Risk", CIAC INFORMATION BULLETIN L-067 "Linux worm Adore", CIAC INFORMATION BULLETIN ワームが利用する弱点についての詳細は以下の URL をご参照下さい。 CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND http://www.cert.org/advisories/CA-2001-02.html CERT Advisory CA-2000-22 Input Validation Problems in LPRng http://www.cert.org/advisories/CA-2000-22.html CERT Advisory CA-2000-17 Input Validation Problem in rpc.statd http://www.cert.org/advisories/CA-2000-17.html CERT Advisory CA-2000-13 Two Input Validation Problems In FTPD http://www.cert.org/advisories/CA-2000-13.html また SANS (System Administration, Networking, and Security) Institute から、これらのワームを発見するツールが公開されています。詳細については以 下の URL を参照してください。 Ramen http://www.sans.org/y2k/ramen.htm Lion http://www.sans.org/y2k/lion.htm Adore http://www.sans.org/y2k/adore.htm ワームが発見された際の対応一般につきましては以下の資料もご覧ください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2000/ed000007.txt 関係サイトとの情報交換 http://www.jpcert.or.jp/ed/2000/ed000006.txt A. 参考情報 以下に各ワームの概要について説明します。 - - Ramen Worm Ramen ワームは RedHat Linux 6.2 と 7.0 を攻撃対象としたワームで、最 新のパッチが適用されていない LPRng, rpc.statd, wu-ftpd を攻撃します。 特徴として、感染後にランダムに生成したクラス B ネットワークをスキャ ンして自分自身を感染させようとします。また、感染後にはポート 27374 で HTTP サービスを提供し、このポートを経由してワームが含まれたアーカイブ ファイルを提供します。また、感染したことを、電子メールで hotmail.com と yahoo.com のあるアカウントに通知します。このメールのサブジェクトは 感染元となったホストの IP アドレスです。 感染ホストのウェブコンテンツである index.html を書き換え、Ramen Crew という文字列とともに Ramen の画像を表示するようにするため、この名前がつ けられました。 - - Lion Worm Lion ワームは複数の裏口と DDoS ツールである Tribe Flood Network (tfn2k) を仕込みます。感染するプラットホームはインテル x86 アークテクチャ 上のLinux システムで 8.2.3-REL より前のバージョンの BIND を動かしている ホストです。 このワームは多数のユーティリティコマンドを書き換えるため、システムの再 インストールが必要となります。 ワームの特徴として、china.com に電子メールを出すことと、裏口として 1008, 60008, 33567, 33568 の各ポートを利用することが報告されています。 - - Adore Worm Adore ワームは Ramen および Lion から派生したワームで、動作原理は似た ものです。BIND, LPRng, rpc.statd, wu-ftpd を同時に攻撃対象とします。 感染するプラットホームはインテル x86 アークテクチャ上の Linux システム で、上記各サービスに対して最新のパッチが適用されていないホストです。 このワームは、当初 Red Worm と呼ばれました、なぜなら RedHat Linux 7.0 ではデフォルトで LPRng がインストールされるため、対策がとられていない多 くの RedHat Linux ホストに感染することが予想されたからです。 このワームは感染すると一つの裏口を仕込みます。そしてシステム情報を特定 の電子メールアドレスに送信します。 B. 最新パッチ、パッケージ 各ディストリビューションの最新パッチ、パッケージ情報については以下の URL を参照してください。 RedHat Linux 7.0 http://www.redhat.com/support/errata/rh7-errata-security.html RedHat Linux 6.2 http://www.redhat.com/support/errata/rh62-errata-security.html Debian GNU/Linux http://www.debian.org/security/2001/ Mandrake Linux http://www.linux-mandrake.com/en/security/ SuSE Linux http://www.suse.com/us/support/security/index.html Turbo Linux http://www.turbolinux.co.jp/security/ Vine Linux http://vinelinux.org/errata/2x/i386.html Kondra MNU/Linux http://www.kondara.org/ なお、今回の件につきまして当方まで提供いただける情報がございましたら、 ご連絡下さい。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbRY4x1ay4slNTtAQG2PgP/WpbhsgoHPOZs6y4iQRTmbihvKm7EdVRw MF83Bn28O31t+i0hiuslAFCFjpNa9qxkzv/7ibBLPylRIGJiCmSllH911PUCLBqI 1O9dZrzxbpqGBU81lRL77LeghKbSrP4VNJvl1NWKrcUpn6Nscbqrfpcmzp4Oo1Cr Z/1kyQ7SePM= =meRv -----END PGP SIGNATURE-----