From: Serdar KOYLU (skoylu@altavista.com)
Date: Thu 18 Jan 2001 - 17:19:40 EET
Selamlar..
Ramen bir kac gun once ftp ile bize bulasmaya calisan asagilik solucanin adiymis. Bir sey oldugunu farkettik ama herhalde tipik bir hacker meselesidir diye uzerine gitmedik. ramen.tgz diye bir paket geliyor. Yanilip acar kullanirsaniz, basa bela oluyor. Bilhassa RedHat 6.2 ve 7.0 icin uyarlanmis, gordugum kadari ile diger dagitimlarda calismasi imkani yok. Firewall'den 27374 nolu portu DENY etmeniz de bir ise yaramiyor, bu solucani degil, solucanin bilgi gonderme fonksiyonunu durduruyor.
Gariban hacker, biraz yeniyetmelikten olsa gerek, uc-bes programdan satirlar ayiklamis, basit kripto yontemleri ile kriptolamis, ASCII degerine bir eklemis hepsi o. Sonucta cascavlak her seyi ortada. Calisma zamaninda bilhassa web serverlerin uzerinde etkili olabilecek kodlara sahip.. Merak edenler icin sizden aldigi bilgileri
gb31337@hotmail.com
gb31337@yahoo.com
adreslerine gonderiyor.
Daha fazla ugrasmaya degmez diyerek silip gectim. Bizde kodlar debugger disina hic cikmadi. Bu nedenle su su etkileri var diyemiyorum. Eger sizde sorun oluyorsa RedHat'in uygun guncellemeleri var.
On Thu, 18 January 2001, Burak DAYIOGLU wrote:
>
> Merhaba,
> Bir süredir Ramen isimli bir kurt, RedHat 6.2 ve RedHat 7.0 daðytymyny
> kullanan Linux'çularyn baþyny aðrytyyor. Otomatik olarak daðyldyðy için
> bilginiz olsun; önleminizi alyn diye bu mesajy yazyyorum.
>
> Ramen kurdu bir bilgisayara bulaþtyktan sonra sistemde root yetkileri
> ile çalyþmaya baþlyyor. /usr/src/.poop ya da (türevlerinde) /usr/src
> dizini altynda ady "." ile baþlayan bir dizin yaratyp bir takym araçlary
> bu dizine yüklüyor. 27374 numaraly portta bir web sunucusu çalyþtyrarak
> kendi kopyalarynyn daðytymyny kolaylaþtyrmaya çalyþyyor.
>
> Temel olarak bir sisteme girdikten sonra bir B-Class aðy rastgele
> seçiyor
> ve ulaþabildiði tüm adreslerdeki sistemlere de zarar vermeye çalyþyyor.
>
> lpd, rpc.statd, wu-ftpd yazylymlarynyn hatalaryndan faydalanarak
> çoðalyyor. Bu yazylymlary ya kullanmamaly ya da
> ftp://ftp.redhat.com/pub/redhat/updates/ dizini altyndan kullandyðynyz
> sürüme iliþkin güncel paketleri kurmalysynyz.
>
> http://www.securityfocus.com/news/139 ve
> http://www.zdnet.com/zdnn/stories/news/0,4586,2675147,00.html
> adreslerinden kurt ile ilgili haberlere ulaþmak mümkün.
>
> selamlar, sevgiler, kurtsuz günler,
> -bd
>
>
> Listeden cikmak icin:
> unsub linux
> mesajini listeci@bilkent.edu.tr adresine gonderiniz.
> Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
> Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
> Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/