莫里斯互联网蠕虫 - 任何人都知道他们是如何设法阻止它的？

Question

是的，这个是一个家庭作业类型的问题，但你能帮我吗？

在关于Morris Internet Worm这个主题的非常简短的演示文稿中，我应该列出阻止蠕虫传播的步骤。我的PP幻灯片现在正在接近最终状态，但在我走之前说这个或那是他们如何阻止这个蠕虫，我想和你核对一下。我听说这个蠕虫病毒在这个时候触发了这个新闻，当时在美国引起了很多轰动，所以我希望找到一些能够提供一些信息的计算机领域的人。

基本上，我一直在各种报告和文章中发现，蠕虫的主要弱点是pleasequit变量没有正确初始化，因此只需将此变量设置为-1即可停止蠕虫。这是蠕虫的最后一击吗？这是否有效地阻止了它的传播？

我发现下面的报告，和其他人，何况pleasequit VAR：（taken from this website）：

蠕虫使用一种称为 “pleasequit”变量，但不能正确 初始化，所以一些人加入 模块调用_worm.o到C 库，它是从制备：

int pleasequit = -1; 

，这个值被设置为-1 的事实将导致它至e xit经过一次 迭代。

Answer 1

它在早期版本的sendmail，finger和rsh（主要是sendmail，但是，IIRC）中使用了一个漏洞。这个修复和外出一样简单，并且让自己获得这些服务器的最新版本。

什么可以阻止最初的传播正是阻止人类病毒传播的途径：缺少新的未感染的易受感染主机，它只能感染旧版本的Sun3系统或Vxen版本的正确版本的Unix（当时许多Vaxes不是大多数Vax，而是运行VMS）以及未修补的finger或sendmail或rsh服务器版本。

Answer 2

蠕虫有几种感染新系统的方法，包括sendmail和finger漏洞，还有密码猜测。 （sendmail漏洞不是代码漏洞，而是可以在sendmail.cf文件中启用的后门程序。）最初的目标似乎是进行低级的隐身攻击，最终导致程序在许多不同的服务器上运行没有所有者意识到发生了什么。编码错误不是pleasequit变量，而是蠕虫重新感染系统甚至似乎已经被感染的事实。这导致受感染的机器得到多次感染，然后崩溃。

因此，被接受为正确的答案（T.E.D.）实际上是不正确的，因为蠕虫继续感染未感染的系统。

导致感染停止的原因是易受攻击的系统被从互联网上取下。不幸的是，当时许多组织都通过削减他们的互联网连接来做出回应，这实际上让他们很难找出问题所在，并解决问题。

说系统只能感染“旧的Sun3系统或Vaxen”也是不正确的。在蠕虫发生时，它正在感染正在使用的最新系统。这个蠕虫特别聪明，它为两种不同的体系结构提供了机器语言攻击（Sun3是68K，Vax是它自己的体系结构）。蠕虫攻击当前版本的操作系统---我们今天称之为“0日”漏洞。

莫里斯此前曾公布过蠕虫在邮件列表中被利用的漏洞之一，而且人们几乎不理会他，说这个漏洞并不重要。看起来这个蠕虫是作为一个宣传噱头，让人们关注一些重要的计算机安全问题。在蠕虫病毒被释放并失控后，似乎他公布了关于如何阻止它的信息，但由于互联网堵塞，信息无法足够快速地传播。