Virus 版 (精华区)

发信人: mylife (小鬼), 信区: Virus
标  题: Internet Worm
发信站: 哈工大紫丁香 (2001年05月30日16:03:04 星期三), 站内信件

标  题: Internet Worm
发信站: 交大资科_BBS (Thu Apr 21 10:55:01 1994)
  在1979年老莫 (Morris Sr.) 及老汤 (Ken Thompson, UNIX 的始作俑者)
  共同完成了一份 UNIX 密码的研究报告, 老莫那时在 NSA(National
  Security Agency) 任职,他们将一些常用的字, 如人的姓, 名, 地名, 街
  道, 以及一些字典上一般长度 (通常在 5 个 characters 以内) 的字等,
  用 UNIX encrypt 的方式加密, 再把这些加密过的字拿去和 passwd 相比
  对, 结果发现在一般的系统内超过 80%的密码可以在这份名单上找到 (这
  个故事告诉我们, 如果要选一个比较安全的密码, 最好在六个字元以上)
  十年之後, 老莫的儿子小莫 (Robert T. Morris) 在康乃尔大学念书,
  Internet Worm 就是这小子的杰作. Worm 是由两支程式组成, bootstrap
  会先渗透受害的主机, 建立桥头堡後再把 worm叫进来执行.
  bootstrap 用三种方式来渗透:
  1.rsh
    从 routing table找出目标, 试著把 bootstrap 送进去执行
  2.finger
    送一个 536 bytes 的参数造成 overflow, 但finger daemon 检查不出
    来 (所以是一个 bug), 然後 daemon 会执行参数内的指令 (因为 over-
    flow 之後被送到 stack了) instead of the real main program.
  3.sendmail
    这也是一个 BSD 的 bug, 在本版好像已经有人介绍过了.
  当 Worm 在您的机器上建立据点後, 它试著去 break password, 小莫只需
  找他老爹要一份 "辛德勒的名单" , 然後按图索骥, 找出配对的密码後, 用
  这些 user 去 login routing table内所有的机器 (如果您在两台以上的机
  器有帐号, 您会不会用不同的 password?)
  Worm侵入一台主机之後, 会去检查是否已有同伴的存在, 假如有, 它就会自
  行退出, 但是有 1/7的机会 Worm 选择留下来 (大概是怕系统弄只假□来骗
  它) , 问题出在这 1/7上面, 对 UNIX 系统实在是太大了, 因此被感染的机
  器几乎都被塞了一肚子的蛔□, 只好请病假疗养几天. 假如小莫当初设计是
  一见到同伴 Worm 就退出的话, 大概永远都不会被发现.
  此事件发生在 1988 年 11 月 2 日, 受感染的机器总在数千台之谱 (详细
  数据没有资料), 财产损失... 颇难估计. 事後小莫急著向人说明此事件纯
  属意外 (也许他只是想 test), 他的一位朋友与纽约时报记者谈论时不慎
  提到小莫的 username, rtm, 於是...
  克绍箕裘的小莫後来被判一万美元的罚锾, 三年缓刑, 再加四百小时的社区
  服务, 我个人认为他如果到 NSA, NCSC, 或是一些penetration test teams
  , 将是炙手可热的人物.
  纽约时报记者 Markoff後来和 Hafner写了一本 Cyberpunk, 可能会有较清楚
  的叙述 (抱歉, 我没看过)
11月2日, 康耐尔大学研究生 、前中央情报局局长公子 Robert Morris 发明的"网路蠕
虫" (Internet worm) 肆虐天下,  Internet 的六万台主机中, 至少有六千台受侵犯。

DARPA 成立 CERT (Computer Emergency Response Team), 以应对 Morris 虫害这类事
件

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]