Virus nimda

Virus nimda - Linux et OS Alternatifs

Marsh Posté le 18-11-2001 à 10:59:54    

Bonjour,
 
Je suis pas infecté par nimda !
Mais mon serveur (Apache sous e-smith) passe son temps à renvoyer des 404 à tous les pov win xx, NT, 2K du net qui le sont.
 
Nimda essaye d'éxécuter cme.exe sur ma machine ( la fameuse faille d'IIS )
 
J'ai fait une page d'erreur 404 spéciale qui enregistre les tentatives d'intrusion par cmd.exe et qui différencie les tentatives manuelles par navigateur de celle de nimda (Plus de 1000 par jour pour nimda, aucune en manuel ! C'est ce qui motive mon action !).
 
J'ai prévenu plusieurs fois manuellement par email les propriétaires de PC vérolés. (En trouvant l'email du gars infecté quelque part sur son système . . . en général en cherchant des fichiers du genre CV*.* ;-) )
 
J'aimerai pouvoir le faire (informer de l'infection) AUTOMATIQUEMENT mais je ne sait pas trop comment m'y prendre sans de grosses intrusions. Y a-t-il un moyen d'envoyer un message à un PC avec sa seul adresse IP ? Je suppose que non, sinon on serait inondé en permanance ! Donc si vous avez une idée.
 
Si ce sujet dérange, faut me le dire tout de suite, et je l'éfface.


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Reply

Marsh Posté le 18-11-2001 à 10:59:54   

Reply

Marsh Posté le 18-11-2001 à 11:13:29    

Je suis pas infecté par nimda !
C'est pas lui qui fonctionne sous wine ?
 
J'aimerai pouvoir le faire (informer de l'infection) AUTOMATIQUEMENT mais je ne sait pas trop comment m'y prendre sans de grosses intrusions. Y a-t-il un moyen d'envoyer un message à un PC avec sa seul adresse IP ? Je suppose que non, sinon on serait inondé en permanance ! Donc si vous avez une idée.
 
Honnetement, ce n'est pas quelque chose que je conseillerais. Les réponses automatiques à des trucs automatiques, c'est le meilleurs moyen de faire des floods sans s'en rendre compte.
 
Mon conseil, ce serait de jouer avec iptables avec de scanner les contenus de chaines entrantes sur 80, pour rejeter ce qui contient cmd.exe (et root.exe tant qu'on y est). J'avais vu passer la commande sur le monde merveilleux des XP ( http://linuxfr.org ), mais le serveur est tout cassé.
 
Si quelqu'un connais cette commande, elle m'interresse, j'ai les logs qui enflent

 

[edtdd]--Message édité par kadreg--[/edtdd]


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 18-11-2001 à 11:23:23    

Il ne s'agit bien sûr pas de faire n'importe quoi !
Je ne vais pas envoyer 1000 messages à une machine qui m'a attaquée 1000 fois !
La première chose à faire c'est d'identifier la machine. Et c'est déja fait ! (Avec la commande "vol", je récupère les N° de séries des DD, et avec "set", le nom de l'ordinateur plus d'autre trucs...)
 
Une fois identifiée, on sait si on a déjà prévenu ou pas. De plus, le message d'alerte que j'imagine consiste en une page PHP sur mon site (Page signée par moi avec mon email pour bien montrer mes intention pacifiques) qui enregistre les visites pour vérifier l'efficacité.
 
Mon seul problème, c'est comment prévenir sans TROP d'intrusion, voir pas du tout.
(Parce qu'avec BEAUCOUP d'intrusion, c'est assez facile, mais j'aime pas çà du tout).

 

[edtdd]--Message édité par Mara's dad--[/edtdd]


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Reply

Marsh Posté le 18-11-2001 à 12:57:02    

kadreg a écrit a écrit :

 
Si quelqu'un connais cette commande, elle m'interresse, j'ai les logs qui enflent  




 
Sur la liste netfilter ils disent que le module de capture de chaine iptables n'a pas été conçu dans ce but et que ce n'est pas à utiliser dans ce cas.
 
je joue dans httpd.conf pour loguer dans un fichier séparé lea attaques nimda... tu peux éventuellement décider de paas les loguer du tout.  
rajoute après le LogFormat ...
SetEnvIf Request_URI \cmd.exe|root.exe nimda
 
modifie ton CustomLog
#log sans nimda
CustomLog /var/log/httpd/access.log common env=!nimda
#log uniquement de nimda
CustomLog /var/log/httpd/nimda.log common env=nimda
 
L'astuce pour sauvegarder de la bande passante est de les rediriger vers une page d'erreur inexistante située autre part que sur ton serveur.
dans <ifModule mod_alias.c> ajoute
RedirectMatch (.*)\root.exe$ http://stopvirus.invalid$1
RedirectMatch (.*)\cmd.exe$ http://stopvirus.invalid$1
 
Pour avertir les gens contaminé, j'en ai aucune idée, et malheureusement, (c'est triste de le dire...) c'est leur problème.  Ils connaissaient les risques... Ils ont qd même choisi Microsoft, ils assument   :fuck: .  Ils ont joués avec le feu, ils ont perdu... :(  (c'est pas gentil, je sais)

Reply

Marsh Posté le 18-11-2001 à 13:22:21    

Moi, je choisi pas Linux OU Microsoft !
 
J'ai un serveur linux qui me sert de passerelle internet pour 2 stations cro$soft, la mienne et celle de ma femme.
 
Il n'est pas envisdageable pour moi de me passer de mon win 98Me. Ne serait-ce que pour pouvoir me servir de mon scanner USB par exemple !
 
Mais je remerçie tous les jours mon serveur e-smith de protéger mon win 98 de l'extérieur !


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Reply

Marsh Posté le 18-11-2001 à 14:15:38    

moi aussi je remercie ma paserelle linux de protéger mes pcs µcrosoft à l'intérieur... ;)
 
je dis simplement que pour un serveur web ou autre, si on choisi un os µcrosoft, on connait les risques... et qu'on a pas le droit de se plaindre autre part que chez µcrosoft.
 
fais qd même gaffe en cherchant les fichier cv.* sur les machines infectées, pcq tu pourrais être considéré comme pirate et risquer des poursuites judiciaires (les chances sont peut-être minimes, mais elles existent).
 
sinon pour envoyer un mail sans intrusions:
- parcourir le site web de la machine qui t'a scanné à la recherche d'une email
- faire une résolution de nom (xxx.xxx.xxx.xxx -> www.company.com) et envoyer un mail à info@company.com.
 
PS: j'ai mon scanner usb branché sur ma paserelle et partagé en réseau avec saned, mais c'est vrai que c'est un peu galère :(
n'empêche c trop génial comme concept de partager un scanner :lol:

 

[edtdd]--Message édité par ethernal--[/edtdd]

Reply

Marsh Posté le 18-11-2001 à 18:19:22    

Si tu me trouve les drivers pour un Canon FB636U, je vais réfléchir à la question ;-)
 
Pour les emails à scanner, c'est un peu trop lourd: trop de fichiers à télécharger. (quoique...)
 
Pour les noms de domaines, faut oublier, ils en ont pas !
C'est des pov gars qu'ont oublié de virer IIS ou PWS et qui s'en servent pas ! En général, à part Admin.dll et quelques TFTPxxxx, le répertoire wwwroot est vide !
 
Y'a bien TFTP justement, mais cà marche très très rarement, et il faut en plus que j'installe un serveur TFTP chez moi, ce qui ne m'enchante pas trop ;-)


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Reply

Marsh Posté le 19-11-2001 à 21:14:47    

Bon ben :bounce: alors !


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Reply

Marsh Posté le 19-11-2001 à 22:43:36    

Pour eviter de saturer ton log apache, rajoute ca dans ton http.conf :
SetEnvIf Request_URL "\.ida" virus
CustomLog /dev/null common env=virus
CustomLog /web/apache/logs/access_log common env=!virus
voila ;)


---------------
Aménager un camping car poids lourd dans un bus / car / camion  - Boinc pour faire bosser votre pc
Reply

Marsh Posté le 19-11-2001 à 22:58:43    

C'est gentil de répondre, mais malheureusement, c'est pas ce que je veux !
 
Mes logs vont très bien, logrotate s'en occupe tous les jours.
 
Ce que je cherche c'est un moyen de prévenir les gens qui ont un PC infecté.
 
C'est pas parcequ'ils utilisent zindoz qu'y faut les laisser tomber.
 
Au contraire, c'est un moyen de leur montrer qu'il existe des systèmes moins pourris. Cela dit, c'est pas ma première motivation. J'aime pas les virus, c'est tout !


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed