莫里斯互聯網蠕蟲 - 任何人都知道他們是如何設法阻止它的？

Question

是的，這個是一個家庭作業類型的問題，但你能幫我嗎？

在關於Morris Internet Worm這個主題的非常簡短的演示文稿中，我應該列出阻止蠕蟲傳播的步驟。我的PP幻燈片現在正在接近最終狀態，但在我走之前說這個或那是他們如何阻止這個蠕蟲，我想和你覈對一下。我聽說這個蠕蟲病毒在這個時候觸發了這個新聞，當時在美國引起了很多轟動，所以我希望找到一些能夠提供一些信息的計算機領域的人。

基本上，我一直在各種報告和文章中發現，蠕蟲的主要弱點是pleasequit變量沒有正確初始化，因此只需將此變量設置爲-1即可停止蠕蟲。這是蠕蟲的最後一擊嗎？這是否有效地阻止了它的傳播？

我發現下面的報告，和其他人，何況pleasequit VAR：（taken from this website）：

蠕蟲使用一種稱爲 「pleasequit」變量，但不能正確 初始化，所以一些人加入 模塊調用_worm.o到C 庫，它是從製備：

int pleasequit = -1; 

，這個值被設置爲-1 的事實將導致它至e xit經過一次 迭代。

Answer 1

它在早期版本的sendmail，finger和rsh（主要是sendmail，但是，IIRC）中使用了一個漏洞。這個修復和外出一樣簡單，並且讓自己獲得這些服務器的最新版本。

什麼可以阻止最初的傳播正是阻止人類病毒傳播的途徑：缺少新的未感染的易受感染主機，它只能感染舊版本的Sun3系統或Vxen版本的正確版本的Unix（當時許多Vaxes不是大多數Vax，而是運行VMS）以及未修補的finger或sendmail或rsh服務器版本。

Answer 2

蠕蟲有幾種感染新系統的方法，包括sendmail和finger漏洞，還有密碼猜測。 （sendmail漏洞不是代碼漏洞，而是可以在sendmail.cf文件中啓用的後門程序。）最初的目標似乎是進行低級的隱身攻擊，最終導致程序在許多不同的服務器上運行沒有所有者意識到發生了什麼。編碼錯誤不是pleasequit變量，而是蠕蟲重新感染系統甚至似乎已經被感染的事實。這導致受感染的機器得到多次感染，然後崩潰。

因此，被接受爲正確的答案（T.E.D.）實際上是不正確的，因爲蠕蟲繼續感染未感染的系統。

導致感染停止的原因是易受攻擊的系統被從互聯網上取下。不幸的是，當時許多組織都通過削減他們的互聯網連接來做出迴應，這實際上讓他們很難找出問題所在，並解決問題。

說系統只能感染「舊的Sun3系統或Vaxen」也是不正確的。在蠕蟲發生時，它正在感染正在使用的最新系統。這個蠕蟲特別聰明，它爲兩種不同的體系結構提供了機器語言攻擊（Sun3是68K，Vax是它自己的體系結構）。蠕蟲攻擊當前版本的操作系統---我們今天稱之爲「0日」漏洞。

莫里斯此前曾公佈過蠕蟲在郵件列表中被利用的漏洞之一，而且人們幾乎不理會他，說這個漏洞並不重要。看起來這個蠕蟲是作爲一個宣傳噱頭，讓人們關注一些重要的計算機安全問題。在蠕蟲病毒被釋放並失控後，似乎他公佈了關於如何阻止它的信息，但由於互聯網堵塞，信息無法足夠快速地傳播。