{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Une modification du ver n'est pas impossible, tout syst\u00e8me n'\u00e9tant pas \u00e0 jour est susceptible d'\u00eatre corrompu.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Linux RedHat 6.2 et 7.0, Mandrake 6.0 \u00e0 7.1 \u00e0 priori (liste non-exhaustive).","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Mais, toute autre machine (actuellement ayant une architecture i386) sur laquelle n'ont pas \u00e9t\u00e9 appliqu\u00e9s les correctifs concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087) est susceptible d'\u00eatre attaqu\u00e9e.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"closed_at":"2001-01-19","content":"## Description\n\nLe ver Ramen est bas\u00e9 sur des scripts shells accompagn\u00e9s de fichiers\nbinaires qui utilisent les vuln\u00e9rabilit\u00e9s de Wu-FTPd (cf.\nCERTA-2000-ALE-010), rpc.statd (cf. CERTA-2000-AVI-039) et LPRng (cf.\nCERTA-2000-AVI-087) pour se propager.\n\nLorsqu'il a obtenu les privil\u00e8ges root sur la machine victime, il va\nt\u00e9l\u00e9charger, depuis une machine d\u00e9j\u00e0 compromise, le toolkit lui\npermettant de compromettre d'autres machines apr\u00e8s avoir fait les\nactions qui suivent :\n\n-   modifie certains fichiers de configuration\n    (/etc/hosts.deny,/etc/rc.d/rc.sysinit,...),\n\n-   cr\u00e9e un r\u00e9pertoire contenant un fichier (/usr/src/.poop/myip) ainsi\n    qu'un programme (un serveur nomm\u00e9 /usr/sbin/asp),\n\n-   d\u00e9truit des fichiers (/usr/sbin/rpc.statd et /sbin/rpc.statd\n\n-   et remplace la page index.html du serveur web heberg\u00e9 par son h\u00f4te\n    (si il existe) par sa propre version de index.html. Il s'agit d'une\n    image d'un sachet de p\u00e2tes accompagn\u00e9e du message : \u00ab Hackers\n    loooooooooooooove noodles. \u00bb.\n\n    -   Pour les syst\u00e8mes utilisant le fichier /etc/inetd.conf, le ver y\n        ajoute le service /usr/sbin/asp et red\u00e9marre le d\u00e9mon inetd.\n    -   Pour les syst\u00e8mes ne poss\u00e9dant pas de fichier /etc/inetd.conf,\n        le m\u00eame service est ajout\u00e9 dans le fichier /etc/xinetd.conf et\n        le d\u00e9mon xinetd et red\u00e9marr\u00e9.\n\n    Ceci permet au ver d'\u00e9couter sur le port 27374.\n\n-   Enfin, le toolkit (/usr/src/.poop/ramen.tgz) install\u00e9, il lance un\n    scan sur le r\u00e9seau pour compromettre d'autres victimes.\n\n## Contournement provisoire\n\nUn garde-barri\u00e8re refusant l'acc\u00e8s entrant ou sortant sur le port\n27374/TCP emp\u00eachera le t\u00e9l\u00e9chargement, dans un sens comme dans l'autre,\ndu toolkit et donc la propagation du ver.\n\n## Solution\n\nAppliquer tous les correctifs fournis par l'\u00e9diteur des syst\u00e8mes,\nnotamment (dans l'imm\u00e9diat) ceux indiqu\u00e9s dans les documents \u00e9mis par le\nCERTA concernant Wu-FTPd (cf. CERTA-2000-ALE-010), rpc.statd (cf.\nCERTA-2000-AVI-039) et LPRng (cf. CERTA-2000-AVI-087).\n","cves":[],"links":[{"title":"Avis du CERT/CC :","url":"http://www.cert.org/incident_notes/IN-2001-01.html"}],"reference":"CERTA-2001-ALE-001","revisions":[{"description":"version initiale.","revision_date":"2001-01-19T00:00:00.000000"}],"risks":[{"description":"D\u00e9figuration de sites web"},{"description":"Propagation de ver"},{"description":"Compromission"},{"description":"Destruction de fichiers de configuration"},{"description":"D\u00e9nis de service"}],"summary":"Le ver nomm\u00e9 Ramen se propage via les vuln\u00e9rabilit\u00e9s cit\u00e9es ci-dessus,\nd\u00e9t\u00e9riore les configurations des syst\u00e8mes et d\u00e9figure les sites web\nh\u00e9berg\u00e9s par les machines qu'il a compromises.\n","title":"Propagation du ver Ramen sous Linux.","vendor_advisories":[{"published_at":null,"title":"Avis IN-2001-01 du CERT/CC","url":null}]}