Lion, più pericoloso di Ramen

Come il suo predecessore, Ramen, Lion colpisce i server Linux vulnerabili ad una nota falla di Bind e vi si installa sottraendo password e seminando nel sistema vittima porte d'accesso abusive. Nessuna cura ancora disponibile


Web – A far scattare l’allarme rosso questa volta è “Lion”, un worm che pare abbia molte parentele con Ramen , un vermicello per Linux che qualche tempo fa ha conosciuto una diffusione senza precedenti .

Secondo l’istituto di ricerca “The System Administration, Networking and Security” (SANS), questo worm rappresenta la mutazione più pericolosa di Ramen, in grado di diffondersi ad una velocità definita “preoccupante” e capace di sottrarre i file delle password dai server “infetti”.

Lion sfrutta la famigerata falla di sicurezza “TSIG” del server BIND venuta alla luce lo scorso gennaio: questo gli consentirebbe di guadagnare i massimi privilegi sulla macchina vittima e sottrarre le password di sistema inviandole, nella loro forma criptata, ad un sotto-dominio di China.com.

Risulta chiaro come gli autori del worm possano tentare di decrittare i file delle password e guadagnare accesso sui server “bucati”. Oltre a questo, i cracker potrebbero avvalersi di backdoor, ossia di accessi abusivi, che Lion tenta di creare una volta installatosi all’interno di un server.


Alan Paller, direttore ricerche presso il SANS, stima che “circa il 20% di Internet” sia vulnerabile a Lion, una percentuale che definisce “enorme” rispetto al numero di server BIND installati nel mondo.

Al momento, l’unico rimedio per tenere lontano il vermicello sembra quello di aggiornare i server BIND ad una versione non vulnerabile oppure installare la patch disponibile da mesi presso l’ Internet Software Consortium .

Alcuni produttori di antivirus, insieme agli esperti di SecurityFocus.com, hanno però tacciato il SANS di allarmismo: secondo loro il pericolo esiste, ma non sarebbe di tale gravità.

Elias Levy, CTO di SecurityFocus.com, afferma: “Per quanto mi è dato sapere nessuno ha ancora segnalato l’apertura di brecce a seguito di un attacco. Gli utenti colpiti da Lion ci hanno semplicemente fatto notare che il worm li ha infettati e che stanno cercando di sbarazzarsene”.

Il SANS però si difende sostenendo che la pericolosità di Lion è elevata proprio perché al momento non esistono metodi per eliminarlo con sicurezza dal sistema senza rischiare di creare danni più gravi di quelli generati dallo stesso worm.

Paller ha addirittura affermato: “Non pensiamo che un sistema infetto possa essere ripulito”: in poche parole l’unico sistema sicuro per rimuovere Lion, al momento, sembra quello di cancellare l’hard disk, reinstallare il sistema operativo e ripristinare una copia di backup precedente all’infezione. Paller teme inoltre che Lion possa essere modificato in modo molto semplice per colpire anche i server Unix.

Il SANS ha già messo a punto un programmino, Lionfind in grado di determinare la presenza di Lion all’interno di un sistema Linux.


Il worm Lion si diffonde attraverso un programma di nome “randb”: questo scandisce la Rete alla ricerca di server BIND vulnerabili e, una volta trovatone uno, vi si trasferisce utilizzando un exploit chiamato “name”. Una volta dentro, Lion installa un rootkit di nome “t0rn” che lo nasconde agli occhi dell’amministratore di sistema: t0rn sostituisce diversi file binari fra cui “find”, “ls” e “in.telnetd”, e cancella le proprie tracce dai file di log.

Una volta a “proprio agio” il vermicello spedisce il contenuto dei file delle password “/etc/passwd” e “/etc/shadow” ad un certo indirizzo Web, cancellando poi il file “/etc/hosts.deny” per indebolire la sicurezza del sistema.

Il worm piazza poi delle backdoor di tipo “root shell” nelle porte 60008/tcp e 33567/tcp (attraverso inetd) e installa un cavallo di Troia nel server SSH in ascolto sulla porta 33568/tcp ed uno per il login. Ciliegina sulla torta, Lion si preoccupa di cancellare il demone Syslogd, così che nessun accesso al sistema venga più registrato.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    ................DICIAMOCELA TUTTA................
    IL NOSTRO MANAGENENT E' AFFIDATO A INCAPACI, VUOI PER QUESTIONI POLITICHE, VUOI PER INCAPACITA' DI SVILUPPO E SPERIMENTAZIONE TECNICA.DOVREMO SEMPRE DIPENDERE DA ALTRI E PAGARNE I RELATIVI SCOTTI.
  • Anonimo scrive:
    powerline & enel da tempo... ma dormono :|
    Enel e' anni che sta lavorando su queste tecnologie...Esattamente un anno fa (mar'2000) annunciava:conferma che la sperimentazione della trasmissione dati lungo la linea elettrica, la cosiddetta power line, partira' entro maggio presso 400 famiglie in due citta' campione, Bologna e Firenze. "Come programmato, partira' entro maggio la sperimentazione a Bologna e Firenze mentre speriamo di avviare la commercializzazione fra la fine del 2000 e l'inizio del 2001" conferma una fonte Enel. L'avvio della sperimentazione era stato annunciato lo scorso 21 dicembre scorso con la presentazione e l'inizio dell'operativita' di Enel.it, societa' del gruppo che si occupa di information technology e di cui e' amministratore delegato Gianluigi Di Francesco. La power line permette la trasmissione dati e quindi, ad esempio, il collegamento Internet, tramite la linea elettrica. Sara' sufficiente applicare a qualsiasi spina di casa un semplice adattatore. I tecnici Enel gia' da alcuni mesi hanno detto che sarebbero stati superati i problemi di possibili interferenze elettromagnetiche sui dati trasmessi. A scoprire se tutti i problemi tecnici sono effettivamente risolti saranno fra poche settimane 200 famiglie di Firenze e 200 di Bologna che Enel.it scegliera' per sperimentare il servizio. La fase di sperimentazione dovra' anche accertare la velocita' di trasmissione dati tramite la linea elettrica. Enel.it prevede 400 mld di investimenti nelle nuove tecnologie nel 2000, con un fatturato previsto di 600 mld ed un utile, prima delle imposte, pari al 10% degli introiti.Il brutto e' che e' fintamente privatizzata Enel... e inoltre anche privatizzando non si cambiano le teste dei boss... :\ a meno di mandarli in pensione :)mah..speriamo si sveglino
  • Anonimo scrive:
    Italietta statalisa
    Ancora una volta dobbiamo ringraziare il pluridecennale statalismo all'italiana, che ci fa essere oggi sempre protagonisti e competitivi a livello mondiale :-(((Qualcuno scriveva, europa-italia 1-0, beh, secondo me è un 2-0 a tavolinociao
    • Anonimo scrive:
      Re: Italietta statalisa
      - Scritto da: io
      Ancora una volta dobbiamo ringraziare il
      pluridecennale statalismo all'italiana, che
      ci fa essere oggi sempre protagonisti e
      competitivi a livello mondiale :-(((
      Piu' che statalismo parlerei di paleocapitalismo:vedi cartello assicurazioni, carburanti, duopolioRAI-MEDIASET; probabilmente arriveremo ad avereENEL-TELECOM nelle comunicazioni
  • Anonimo scrive:
    Non sono convinto
    Certamente la possibilità di navigare a 2Mbit/s tramite la semplice rete elettrica è un ottima idea, tuttavia la tariffazione in base al traffico dati rischia di essere un sistema per far pagare un canone fisso e poi un tot a seconda del tempo di connessione, quindi una netta marcia indietro sul piano delle tariffe. Ma in Italia l'hanno presa in considerazione? Oppure hanno paura che essendo più semplice dei vari ADSL, HDSL e cavo possa arrivare prima nelle nostre case/uffici?
    • Anonimo scrive:
      Re: Non sono convinto

      un ottima idea, tuttavia la tariffazione in
      base al traffico dati rischia di essere un
      sistema per far pagare un canone fisso e poi
      un tot a seconda del tempo di connessione,non "rischia" lo e'.e' la classica furbata stile telecom.
    • Anonimo scrive:
      Re: Non sono convinto
      Guarda che hdsl si paga a traffico....- Scritto da: Maciste
      Certamente la possibilità di navigare a
      2Mbit/s tramite la semplice rete elettrica è
      un ottima idea, tuttavia la tariffazione in
      base al traffico dati rischia di essere un
      sistema per far pagare un canone fisso e poi
      un tot a seconda del tempo di connessione,
      quindi una netta marcia indietro sul piano
      delle tariffe. Ma in Italia l'hanno presa in
      considerazione? Oppure hanno paura che
      essendo più semplice dei vari ADSL, HDSL e
      cavo possa arrivare prima nelle nostre
      case/uffici?
  • Anonimo scrive:
    Conflitto di interessi
    Ho l'impressione che questa tecnologia in Italia non arriverà. L'Enel possiede Infostrada, Wind, fra poco si comprerà anche la Telecom, ma a noi che cosa ce ne viene in tasca? NULLA!
    • Anonimo scrive:
      Re: Conflitto di interessi
      - Scritto da: AB
      Ho l'impressione che questa tecnologia in
      Italia non arriverà. L'Enel possiede
      Infostrada, Wind, fra poco si comprerà anche
      la Telecom,Conflitto di interessi?Ma in Italia il conflitto di interessi non esiste!
  • Anonimo scrive:
    interessante ma!!!!!!!!!!!attenzione
    Sapevamo che era in corso di certificazione un modem con protocolli di comunicazione in grado di girare ad alta velocità su rete elettrica.Considerando che da anni gira sulla rete elettrica il telex e protocolli di comunicazione ENEL, ovviamente a bassa velocità, c'era da attendersi che prima o poi avessero risolto i problemi di interferenze per i protocolli veloci.Il problema vero ora è capire se questa grande opportunità di connettere il 100% degli utenti,con costi zero per l'Enel, comporterà quale diavoleria di canoni e consumi di traffico perchè vedrete che ora si innalzeranno i cartelli di "protective profict" tra Enel e Telecom. Auguri e staremo a vedere, anche se sono scettico che il servizio una volta attivato arriverà alle nostre case a basso costo.
    • Anonimo scrive:
      Re: interessante ma!!!!!!!!!!!attenzione
      ....Aggiungerei.... speriamo che l'Enel abbia intenzione di fare una cosa del genere...e poi, siamo sicuri che , alla fine di tutto, non si ricada sulla "stessa" centrale telefonica????Comunque , l'ATM di Milano e' gia' da 3 anni che sta sperimentando la trasmissione via "elettrica" di dati Internet...pero' ancora.... - Scritto da: Alby
      Sapevamo che era in corso di certificazione
      un modem con protocolli di comunicazione in
      grado di girare ad alta velocità su rete
      elettrica.Considerando che da anni gira
      sulla rete elettrica il telex e protocolli
      di comunicazione ENEL, ovviamente a bassa
      velocità, c'era da attendersi che prima o
      poi avessero risolto i problemi di
      interferenze per i protocolli veloci.
      Il problema vero ora è capire se questa
      grande opportunità di connettere il 100%
      degli utenti,con costi zero per l'Enel,
      comporterà quale diavoleria di canoni e
      consumi di traffico perchè vedrete che ora
      si innalzeranno i cartelli di "protective
      profict" tra Enel e Telecom. Auguri e
      staremo a vedere, anche se sono scettico che
      il servizio una volta attivato arriverà alle
      nostre case a basso costo.
  • Anonimo scrive:
    Traffico
    "...Con 69 marchi ci si potrà assicurare un gigabyte di traffico..."Come fa un utente ignorante a capire quanto traffico genera? Esistono dei software appositi? Esiste qualcosa, inoltre, per capire quanto traffico genera il proprio sito web?Sarebbe molto utile, soprattutto per sapere se le bollette della RWE (che un giorno potrebbero arrivare anche in Italia con Enel-Inwind) sono corrette oppure no.Grazie, anche se so che e' difficile che qualcuno sappia la risposta...
    • Anonimo scrive:
      Re: Traffico
      - Scritto da: Max
      "...Con 69 marchi ci si potrà assicurare un
      gigabyte di traffico..."

      Come fa un utente ignorante a capire quanto
      traffico genera? Esistono dei software
      appositi? Esiste qualcosa, inoltre, per
      capire quanto traffico genera il proprio
      sito web?

      Sarebbe molto utile, soprattutto per sapere
      se le bollette della RWE (che un giorno
      potrebbero arrivare anche in Italia con
      Enel-Inwind) sono corrette oppure no.

      Grazie, anche se so che e' difficile che
      qualcuno sappia la risposta...Per quanto ne so, esistono dei programmi che "contano" il volume di dati in uscita ed in entrata dal proprio computer, ma non ricordo come si chiamano...... una volta con un amico abbiamo fatto un test con una linea ISDN da 128 Kb/s e abbiamo raggiunto un volume di 250 MBytes in qualche ora, tra navigazione e scaricamento dati. In pratica, con una linea di 2 Mb/s, uno che usa Internet in maniera intensa ha qualche "ora d'aria" al mese con un volume limitato di dati. Sistema sfigato che purtroppo stenta a scomparire. Vedremo in futuro...
  • Anonimo scrive:
    E la povera Telecom?
    Se la compagnia tedesca riuscirà, come spero e mi auguro, a trasferire internet su rete elettrica, la Telecom da venditrice diverrà acquirente?Magari fallirà, speriamo presto.Germania-Italia 1-0Pasquino
    • Anonimo scrive:
      Re: E la povera Telecom?
      - Scritto da: Pasquino
      Se la compagnia tedesca riuscirà, come spero
      e mi auguro, a trasferire internet su rete
      elettrica, la Telecom da venditrice diverrà
      acquirente?
      Magari fallirà, speriamo presto.
      Germania-Italia 1-0

      PasquinoOhhh sai e la povera telecom??? e la povera italia?? e noi poveri idioti?? secondo te che succederà?? che ce la PRENDEREMO UN ALTRA VOLTA NEL CULO! COME SEMPRE.Europa-Resto del mondo=italia 100-0
      • Anonimo scrive:
        Re: E la povera Telecom?

        secondo te che succederà?? che ce la
        PRENDEREMO UN ALTRA VOLTA NEL CULO!

        COME SEMPRE.secondo te perche'?
        • Anonimo scrive:
          Re: E la povera Telecom?


          secondo te che succederà?? che ce la

          PRENDEREMO UN ALTRA VOLTA NEL CULO!



          COME SEMPRE.


          secondo te perche'?sEMPLICE,Enel possiede wind (e infostrada).Potrebbe mai farsi concorrenza da sola?Ergo ce la prenderemo a quel posto ancora una volta,essì ke tanto oramai abbiamo i calli...Bah...povera italia...Faggiano ha detto.
          • Anonimo scrive:
            Re: E la povera Telecom?
            non credo che debba proprio essere cosi` wind e infostrada viaggeranno sulle linee ENEL (adesso sono in affitto su telecom) : ultimo miglio sulla linea elettrica e backbone su fibra ottica (hanno gia`cablato tutte le linee di alta tensione)
Chiudi i commenti