|
 |
|
|
# Sisteme verdiği zararlar nelerdir ?
# Nasıl ve ya hangi yollarla sızarlar ?
# Nasıl temizlenirler (silinirler) ?
Sun Solaris Telnet Kurtçuğu (Worm)
Yeni bir kurtçuk (worm) Sun Solaris telnet daemon’daki (in.telnetd) bir güvenlik açığını (VU#881872) kullanıyor. Güvenlik açığı kurtçuğun (veya saldırganların) telnet ile (23/tcp) yüksek imtiyazlar ile login olmasına izin veriyor.
Açıktan yararlanmak kolay olduğu için ve yeterli teknik bilgi herkese açık olduğu için herhangi bir saldırgan veya bu kurtçuk etkilenen sistemlere kolaylıkla girebiliyor.
Kurtçuğun karakteristiklerinden bazıları:
* VU#881872’den yararlanıp telnet kullanarak adm veya lp kullanıcısı ile login olmak
* /var/adm/wtmpx izinlerini -rw-r--rw- ye çevirmek
* /var/adm/sa altında .adm klasörünü yaratmak
* /var/adm/ ve /var/spool/lp/ altında .profile dosyalarını yaratmak
* port 32982/tcp üzerinde bir arkakapı (backdoor) kurmak
* adm ve lp kullanıcıları için crontab kayıtlarında değişiklik yapmak
* telnet (23/tcp) servisi veren diğer sistemleri taramak
Çözüm:
Sun kurtçuk ile ilgili bilgiyi ve telnet daemon’unu kapatarak kurtçuğun yaptığı değişiklikleri düzelten bir script’i yayınladı.
Açığı kapatmak için Sun Alert Notification 102802’ye göz atınız.
Geçici Çözüm:
Telnet’i kapatın
Telnet aşağıdaki komutu root olarak çalıştırarak kapatılabilir
# /usr/sbin/svcadm disable telnet
Telnet erişimini kısıtlayın
Telnet (23/tcp) servisine Internet gibi güvenilmeyen ağlardan erişimi kısıtlayın.
Telnet yerine SSH kullanın
SSH uzaktan sistemlere girişte telnet’ten daha güvenli bir metod sunar. Genel bir tavsiye olarak SSH kullanımı öneriliyor.
Kaynak: Linki Görebilmek için Üye Olunuz veya üye iseniz Giriş Yapınız
Referanslar:
* US-CERT Vulnerability Note VU#881872
* Recovering from an Incident
* Sun Alert Notification 102802
* Solaris in.telnetd worm seen in the wild + inoculation script
* inoculate.local
* CVE-2007-0882
Etkilenen Sistemler
* Sun Solaris 10 (SunOS 5.10)
* Sun "Nevada" (SunOS 5.11)
Hem SPARC hem de Intel (x86) mimarisi etkileniyor.
Linux.Jac.8759
Linux.Jac.8759 Linux altındaki dosyaları etkileyen bir virüstür. Virüs, bulunduğu dizindeki ELF çalıştırılabilir dosyalarını etkilemektedir.
Açıklama
Risk Faktörü: Düşük
Etkilenen Sistem: Linux
Linux.Jac.8759 çalıştırıldığında, bulunduğu dizinlerdeki çalıştırılabilir dosyalara yazabilme izni olup olmadığını kontrol eder ve bulduğu dosyaları enfekte etmeye çalışır. Virüs, ps uzantısı olan dosyaları ve x86 (Intel) platformu için yaratılmamış dosyaları etkilemeyecektir.
İlgili virüs dosyanın headerındaki birçok alanı modifiye etmektedir ve bu modifikasyonlardan biri dosyanın etkilenmiş olduğunu belirlemek için kullanılmakta, bu sayede aynı dosyanın birden fazla kez virüsten etkilenmesi engellenmektedir.
Çözüm
Linki Görebilmek için Üye Olunuz veya üye iseniz Giriş Yapınızwww.symantec.com adresinden edinebileceğiniz Norton Antivirüs programı bu virüsü güvenli bir şekilde temizleyebilmektedir. Ayrıca önceki kullanıcılar, LiveUpdate fonksiyonunu kullanarak bu virüs için gerekli güncellemeleri indirebilirler.
ref: Linki Görebilmek için Üye Olunuz veya üye iseniz Giriş Yapınız....jac.8759.html
Tayvan’da MSN virüsü keşfedildi
MSN bağımlıları dikkat! Taipei Times, Tayvan’da binlerce insanın, saldırganlar tarafından kullanıcıların bilgisayarlarının kontrol altına alınabilmesine olanak tanıyan, MSN vasıtasıyla iletilen bir virüsün etkisi altında olduğunu bildirdi.
Kulllanıcıların çoğu, kişiler listesinde düzenli olarak kayıtlı bulunan arkadaşlarından bir link aldı. Linke tıkladıklarında, bir backdoor virüsün bilgisayarlarına kurulduğunu fark ettiler.
Çoğu kullanıcı, ilk olarak kişi listelerinin yok olduğunu ve MSN Messenger’ı kapatmanın imkansız olduğunu bildirdi. Bir kısmı, Messenger Linkine tıkladıktan sonra ters olan hiçbir şey olmadığını kabul ederken, bazı kullanıcılar da bilgisayarlarında veri kaybı olduğunu belirtti.
Virüsün özellikleri ve ne kadar yaygın olduğu hakkında net bir bilgi yok, Doğrusu, bir taraftan MSN temsilcileri BKDR_RINBOT.A isminde bir backdoor virüsü tespit ettiklerini iddia ederken, diğer yandan Symantec Çin bölgesi uzmanları virüsün Backdoor.irc.Bot virüsü olarak tanımlanabileceğini belirtti.
Symantec’e göre, virüs, alıcının korumasını kaldırmak için linkleri göndermede kişi listesini kullanıyor.
Bu tür bir saldırının amacı hem virüsü yaymaya devam etmek için daha fazla kişiye ulaşmak, hem de virüsün bulaştığı bilgisayarlara tam kontrol kazanmak. Bunun yanında, virüsün bulaşmış olduğu bilgisayarların her yeniden başlatıldığında virüsü çalıştıracağı ve bir IRC sohbet odası sunucusuna bağlanmaya çalıştığı, bu sayede bu sunucuya bağlanan bütün bilgisayarların virüsten etkileneceği doğrulandı.
|
Nisan 19, 2008, 09:39:17 ÖS
