Črv "Lion" (1i0n) izkorišča luknje v starih verzijah BIND DNS strežnikov za svoje širjenje. Črv trenutno deluje le na Linux sistemih, različice za druge UNIX operacijske sisteme niso znane.
Opis
Črv izkorišča napako pri obravnavanju TSIG zahteve v BIND programih verzije 8.2, 8.2-P1, 8.2.1 in 8.2.2-Px. V BIND 8.2.3-REL je napaka odpravljena.
Črv se širi preko programa randb, ki izbere naključni razred B IP naslovnega prostora, kjer poišče ranljive DNS strežnike. Nato preko programa name na ranljiv sistem namesti zbirko vlomilskih orodij t0rn rootkit. Nato pošlje datoteki /etc/passwd in /etc/shadow po elektronski pošti na naslov v domeni china.com, pobriše /etc/hosts in doda zapise v /etc/inetd.conf, ki omogočajo neavtoriziran root dostop do ukazne vrstice (shell) na portih 60008/tcp in 33567/tcp, na 33568/tcp pa instalira trojansko kopijo SSH strežnika (ta se skopira tudi na /usr/sbin/ncsd). Pobije tudi syslogd proces in namesti popravljeno (trojansko) verzijo /bin/login programa, ki preveri geslo v /etc/ttyhash.
T0rn rootkit zamenja več sistemskih programov: du, find, ifconfig, in.telnetd, in.fingerd, login, ls, netstat, ps, pstree in top in namesti dodatne programe: t0rn, tfn in mjy.
Ukrepanje
Preverite, katera verzija BIND programa teče na vašem strežniku in po potrebi namestite BIND 8.2.3-REL oziroma zadnjo verzijo BIND 9.x. Črv pregleduje sicer B razrede naslovnega prostora, vendar ga je trivialno spremeniti tako, da se širi po C razredih, ki so večinoma uporabljani v Sloveniji.
Če sumite, da je morda vaš sistem okužen, preverite zapise v /etc/inetd.conf in avtentičnost programov, ki jih namesti t0rn rootkit. Pri odstranjevanju se odločite, če ni bolj smiselno narediti kopije pomembnih podatkov in na novo naložiti celoten sistem.