Lion蠕虫从2001年4月6日,由http://www.sans.org报道以来引起了广泛的关注。它最初来源于(中国红客联盟,作者是一位中国“红客”-lion。这个蠕虫是这个组织针对日本修改教科书一事进行报复的一部分,从Lion蠕虫感染系统后行为来看,其主要目的是搜集系统信息,可能是下一步攻击的前奏。下面是HUC关于Lion蠕虫的宣言: because of the Japan''''s disrepect,cnhonker had been roused ,and the lion worm is just to tell the Japanese chinese is not sheep,they must be answer for.They must assue the obligation with their crime.They must assue their artion for the educational book 这篇文章的作者在文章中对此表达了自己的不满,认为不应该以此目的散布Lion蠕虫。在翻译时,我将这一部分省略了。不过,如果单纯从技术的角度来看,这个蠕虫几乎没有任何新意,简直是抄袭,它的传播之所以能够引起如此大的震动,主要要归功于BIND8的两个安全漏洞。是这两个珠联壁合的安全缺陷使Lion蠕虫能够大范围攻击DNS系统,快速传播。
BIND攻击程序是由LSD(the Last Satge of Delirium)发布的,lion蠕虫的三个版本都使用了它作为自己的exploit程序。LSD于2001年2月8日在其网站上发布了linx86_bind.c,狮子蠕虫v1.0就是使用的这个版本。然而,第二天,LSD升级了这个exploit程序,不过文件名没有改变,只是做了一些轻微的改动。升级没有做技术上的改动。新的exploit代码中的一个显著变化就是采用了不同的命令行参数。通过观察命令行参数,我弄清楚了,狮子蠕虫v1.0版使用的是2月8日发布的exploit代码,而后两个版本使用的是升级版本。而且,每个版本都使用不同的命令来攻击远程BIND主机。
蠕虫脚本改变的文件: /etc/rc.d/rc.sysinit 文件加入了一个新的入口''''/dev/.lib/lib/scan/star.sh'''' /etc/hosts.deny is missing (an empty placeholder file is present by default) 文件被删除,由一个空文件取代