清除Linux系统上的蠕虫程序Ramen 1x8wQ/p|  
Linux系统中出现了一种称之为Ramen的蠕虫程序。它可能会入侵数千台运行RedHat 6.2/7.0 操作系统的服务器。Ramen利用了两个已知的Linux安全漏洞。它首先利用 RPC.statd 和 wu-FTP 的漏洞扫描网络上使用 RedHat 6.2/7.0 的服务器，然后尝试取得系统权限，一旦取得之后，会将一些一般的系统服务加以替换，并且将一个称之为“root kit”的程序码植入安全漏洞中，此外 Ramen 还会将站点上的首页给换成 :“RameNCrew--Hackers looooooooooooove noodles”的字样。最后，Ramen会寄两封信给两个电子信箱，并且开始入侵其他的RedHat服务器。 Ramen只针对RedHat来进行侵入,不过危害不大，但是传播的速度却惊人，15分钟内可以扫描约 130,000 个站点。 y
9.?5#aL  
=_CH$F!U  
Ramen是很善良的,在攻击完成后会自动把它攻击的3个漏洞给修补上(Redhat 6.2的rpc.statd、wu-ftpd,Redhat7.0的lpd),但是会在系统上起一个进程扫描下面的机器,会占去大量网络带宽。由此可能造成其他的主机的误会以及大量占用网络带宽，使系统瘫痪。 6[?5hmc"w  
:6]qr86  
我们可以看出，该程序其实并不能称为病毒，而是一个利用了安全漏洞的类似蠕虫的程序。该程序的作者Randy Barrett也站出来声明说，这只是一个安全漏洞，类似于这样的安全漏洞在各种网络服务器上都存在，他在写Ramen程序的时候也不是针对Linux的。 u:^sEk"Lk'  
f~7V<v  
防治的方法很简单,请升级你的redhat 6.2的 nfs-utils , wu-ftpd , redhat 7.0的LPRng,具体下载可以到ftp://updates.redhat.com/。 <v=s:^;C0  
Jhfw$DF  
检查系统是否被该程序侵入的方法是，看看有没有/usr/src/.poop这个目录被建立，以及27374端口是否被打开，如果有的话就表明已经被Ramen侵入了。 "C
?H:8W  
.A0fI"
;Q  
看一个系统是否感染了Ramen蠕虫，主要基于以下几点： qae|?z  
Cj$:TWYIh[  
1. 存在/usr/src/.poop目录 rAE5.Q!u  
@8$z2  
2. 存在/sbin/asp文件 HiBI0)N}  
%m+7$iD  
3. 本地端口27374被打开（用netstat -an命令） v]Aop<KLX  
a ,"   
可以用以下的perl脚本程序检测： wD4[UU?  
| AiMx2  
#!/bin/perl# Script that checks for signs of ramen infection# Patrick Oonk, patrick@security.nl# based on Daniel Martin's description at# http://www.securityfocus.com/archive/75/156624# No guarantees, do with this script whatever you like (BSD license)$detected = 0;print "Ramen worm checker.nChecking...n";open(F,"/etc/redhat-release") ;print "You are running ",〈F〉,"n";;close(F);@suspect = ("/usr/src/.poop", "/usr/src/.poop/ramen.tgz","/tmp/ramen.tgz");foreach (@suspect) {if(-e) {print "found $_n";$detected++;}}open(N, "/bin/netstat -an|") or print "Could not open /bin/netstatn"; while(〈N〉) {if (/:27374.*LISTEN/) {print "Ramen webserver detected on port 27374n";$detected++;last;}}close(N);if ($detected) {print "$detected telltale signs of ramen found. Get professional helpn";} else {print "Wheee! No ramen signs found!n";} &x;n^W;#  
清除Ramen蠕点的步骤： nLx|$=W  
{ h PB%  
1. 删除/usr/src/.poop目录和/sbin/asp文件。 }9
&dY!h +  
,RW`9+gx  
2. 如果存在/etc/xinetd.d/目录，则删除/etc/xinetd.d/asp。 4-I7"pW5  
p$uPj*  
3. 删除/etc/rc.d/rc.sysinit文件中涉及到/usr/src/.poop的行。 `?b'.Z_J  
@_W13@|  
4. 删除/etc/inetd.conf文件中涉及到/sbin/asp的行。 x=+>J$~Pb  
M93*"jA  
5. 重新启动系统和手动杀掉以下进程synscan,start.sh, scan.sh, hackl.sh, hackw.sh。 N9*:]a  
(4Nj3x o  
6. 升级ftp, rpc.statd, lpr等程序。 i<):%[Q)>  
9Q!Z9n"8~)  
因为Ramen是通过wu-ftp, rpc.statd, lpr等程序侵入系统的，所以在对这几个程序升级前最好关闭这些程序，这样可以有效地防止被Ramen感染。

这个系统没有用过。。惭愧