| |
 |
| Nimda-Hosts anprangern oder nicht? |
|
|
Veröffentlicht durch maol am Mittwoch 08. Mai, 07:59
Aus der Mittelalter Abteilung
|
|
|
|
|
Auf vuln-dev fragt einer, wie man mit Nimda-Rechnern umgehen soll, die einem scannen. Soll man deren Adresse veröffentlichen, sie warnen (nützt seiner Erfahrung nach nichts), oder sie ignorieren? Eine gute Frage, denn anprangern wäre schon schön, würde aber DDOS-Kiddies eine wohlsortierte Liste von Opfern liefern.
|
|
|
|
< SuSE 8.0 Testbericht | Druckausgabe | Keine Werbung mehr auf der Swisscom Telefonrechnung > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Ich hatte mir tatsächlich mal die Mühe gemacht, per whois und sowas bei einem Code Red & Co HTTP-Scan eine EMail an den Tech-c und Zone-c des betreffenden Hosts zu schicken. In einigen Fällen kamen automatische Antworten zurück, in den anderen gar nichts - manchmal sogar einfach nur unverständnis. Ganz selten "wir werden das prüfen".
Den meisten scheint das ziemlich egal zu sein... und wenn echt mal Daten verloren gehen wird dann halt ein Backup eingespielt - und der Virus ist damit wieder da - war auch auf den Backup.
Meine Logtabelle mit IP-Adressen enthält über 1000 Einträge von 08/2001 bis 09/2001, dann hab ichs aufgegeben.
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Viren werden anscheinen längst nicht von allen Leuten wichtig genommen. Ich erinnere mich noch, dass wir in der Firma einen VBS-Virus hatten, der dann auch auf den Server-Laufwerken herumgeisterte. Als wir das meldeten hat sich der Agent vom internen IT-Problem-Callcenter nicht getraut, dieses Ticket auf höchste Priorität einzustellen, weil er sonst von der IT angepfiffen würde. Sich wegen eines Virus irgendwie zu bewegen liegt wohl unter deren Würde... (ich weiss, dass hier sehr viele Sysadmins mitlesen, aber ich stehe dazu! Wenn ein Virus in der Firma ist haben die Leute, die nunmal dafür bezahlt werden, anderer Leute Fehler auszubügeln, gefälligst den Hintern vom Stuhl zu kriegen! Viren lassen sich nicht eliminieren, indem man das CallCenter einschüchtert und die Tickets vergammeln lässt!)
Nun, 7 Stunden später gaben wir ein zweites Ticket auf, aber da hiess es dann eigentlich nur noch "schaut nach, ob ihr den Virus in anderen Teilen der Firma findet", denn in unserem Einflussbereich hatten wir unterdessen selbst aufgeräumt - schliesslich haben wir ja mit unseren Computern Arbeit zu erledigen und können den Karren nicht aus pädagogischen Überlegungen an die Wand fahren.
Immerhin muss man zugute halten, dass die Mail-Verbreitungsroutinen des Virus innerhalb des internen Mailsystems keinerlei Wirkung hatten. Aber wenn am Ende auf jedem Netzlaufwerk 3000 infizierte Dateien liegen ist das Risiko trotzdem noch hoch genug, dass z.B. irgend jemand die dann alle auf einen "wilden" Backup schreibt und einen Monat später, womöglich in einer anderen Abteilung, wieder einspielt (aus Dummheit natürlich).
Der Knochen
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich sage da nur: Shutdown des anderen Hosts und wenn nötig mit Gewalt.
Vielleicht lernen dann diese das, dass sie halt vielleicht ihren Rechner updaten sollen bzw fixen sollen.
|
|
|
|
|
|
|
|
|
|
|
|
|
Für irgendeinen Backdoor-Wurm gab es mal einen 'Anti-Wurm'. Der ist durch die Backdoor rein und hat die dann geschlossen. Weiss nicht mehr welcher das war, aber ich glaub das hab ich hier gelesen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Das finde ich auch bedenklich. Da könnte man ja übern Parkplatz gehen, und an alle Autos wo die Türen offen sind ein Fähnchen dranmachen!
Trotzdem hat der CCC ein solches Projekt ins Leben gerufen: Distributed Portscanning
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja, da gibt es finde ich schon noch einen Unterschied. Bei deinem Privatauto willst Du definitiv NIE das jemand Fremdes einstiegt und damit wegfaehrt.
Wenn Du einen offenen Port "bereitstellst" bietest Du ja prinzipiell einen Dienst der Oeffentlichkeit an, der auch von Jedermann benutzt werden soll.
Wenn man durch seine eigene Unachtsamkeit Dienste der Oeffentlichkeit anbietet die man garnicht anbieten moechte ist man selbst dafuer verantwortlich......
|
|
|
|
|
|
|
|
|
|
|
|
|
Wenn man durch seine eigene Unachtsamkeit die Autotür offen lässt, ist man dafür genauso verantwortlich. Du willst auch definitiv NIE dass jemand in deinen Port 31337 einsteigt...
Wer auf seinem Rechner Dienste anbietet, gibt diese normalerweise der entsprechenden Zielgruppe auch bekannt - einem Portscan gehen aber zum großen Teil die ungewollten Dienste ins Netz. Und diese Infos - sei es auch zur Aufklärung - den ScriptKiddies (und Schlimmeren) zum Fraß vorwerfen, find ich nicht ok.
|
|
|
|
|
|
|
|
|
|
|
|
|
Wie http://ihsan.dogan.ch/nimda.shtml zeigt, geistert Nimda immer noch rum.
Ich musste aber leider die Erfahrung machen, dass die meisten Admins der betroffenen Maschinen nicht auf Mails antworten, was eigentlich nicht verwunderlich ist.
|
|
|
|
|
|
