Re: [Sop.Tec.LinuxPPP] Servidor apache con virus.

To: <linux en linuxppp com>
Subject: Re: [Sop.Tec.LinuxPPP] Servidor apache con virus.
From: "Carlos Lang" <clang en trendmex com>
Date: Tue, 9 Apr 2002 18:51:39 -0500
References: <NFBBIENCILAEFGCEDMKEKEOCCBAA.eibarra@source-site.com> <20020409210207.22149.qmail@mail.wstation.com> <001701c1e009$3d51e7f0$320a0a0a@bregusa.i>
Reply-to: linux en linuxppp com
Sender: owner-linux en pepe net mx

No necesariamente Nimda, existe el virus llamado   ELF_Sadmind. que infecta
apaches en solaris y linux, a estos no les causa daño, pero funcionan como
metodo de propagacion para darle en la torre a las maquinas Windows.

Les anexo descripcion

Carlos Lang


ELF_SADMIND.A
Aliases:
SADMIND.A, Unix/SadMind, Sadmind- IIS, sadmind/IIS

Description:
This Solaris platform-specific worm exploits the vulnerabilities of
unpatched Internet Information Servers (IIS) 4 and 5, and SunOS systems with
Solstice AdminSuite prior to version 2.3. It uses these exploits to
propagate and compromise network security. When the worm attacks a system it
adds text to the .RHOST files that belong to root. When the worm is active
it generates a random class B subnet and performs an incremental Internet
Protocol (IP) search to search for vulnerable Solaris systems that it can
infect next. The worm then uses shell script to target systems and stores
the IP addresses of the infected systems. When the number of infected
systems reaches 2,000, the worm replaces all INDEX.HTML files in the
infected systems with itself and modifies Web site startup pages to show
some offensive text.

Solution:

A security patch is available from Microsoft and Sun for infected
systems.


----- Original Message -----
From: Alexander Kouznetsov
To: linux en linuxppp com
Cc: info en thequalitytimes com
Sent: Tuesday, April 09, 2002 3:58 PM
Subject: Re: [Sop.Tec.LinuxPPP] Servidor apache con virus.


que yo sepa Linux es inmune a las modificaciones existentes de Nimda
Me baso en que un nuevo worm para win32 es algo muy comun, un nuevo worm es
algo que sale de manera muy rara y crea cran polemica (oh, ya vieron, linus
no es mas seguro que windoes, tambien hay viruses para linux!).

Seguramente se alucino el antivirus de tu amigo (de casualidad usa alguna
especie de MAV? :).
Lo unico que se me ocurre para el caso de que no sea asi, es que alguen esta
spofeando a tu amigo, y al intentar acceder a tu servidor el
proxy/ruteador/sistema/yo que se lo redirecciona a otro servidor, que si
este infectado.

Aunque por lo menos por curiocidad, habria que investigar mas a fondo esta
cuestion, ya que como se sabe, un sistema que se comporta raro, es un lado
flaco potencial.
Recomendaria empesar por revisar el codigo html que ve tu amigo en sus
instalaciones fisicamente. Y revisar que antivirus, de que version, y con
que update esta correindo, y tratar de reproducir sus condiciones.

----- Original Message -----
From: "Leopoldo Santiago" <lsantiago en wstation com>
To: <linux en linuxppp com>
Cc: <info en thequalitytimes com>
Sent: Tuesday, April 09, 2002 4:02 PM
Subject: [Sop.Tec.LinuxPPP] Servidor apache con virus.


> Tenemos un servidor web en linux, con apache, php, etc.
> Y un amigo (A Moncada) me reporta que al tratar de
> ver:
>
> http://www.thequalitytimes.com/Notas/tuv_rheinland_de_mexico.htm,
> o
> http://www.thequalitytimes.com/Notas/pan.html,
>
> desde su navegador en windows le reporta que esas páginas
> tienen el nimda. Pero yo en la oficina ya lo probe con dos máquinas,
> una que tiene el norton, y otra con McAfee, ambos
> actualizados al dia de hoy y ninguna me reporta el Nimda.
> Tambien le pedí a otra amiga que visitara las páginas
> anteriores para ver si su antivirus y su navegador
> detectan algo, y me dijo que no.
>
> Ademas ya entre al servidor y revise de manera directa
> utilizando el editor "vi" y revise linea por linea y
> no encuentro nada.
>
> Pudiera haber infectado el nimda a linux y a apache?
> A alguien mas detecta que esas páginas tiene el nimba.
>
> Agradecere cualquie comentario.
> Saludos.
> ---------------------------------------------------------------------
> Lista de soporte de LinuxPPP
>  Reglas de la lista en http://linuxppp.com/reglas.html
>

---------------------------------------------------------------------
Lista de soporte de LinuxPPP
 Reglas de la lista en http://linuxppp.com/reglas.html

---------------------------------------------------------------------
Lista de soporte de LinuxPPP
 Reglas de la lista en http://linuxppp.com/reglas.html

Referencias:
- RE: [Sop.Tec.LinuxPPP] emuladores de winbugs para linux
  - De: Ennis Ibarra F.
- [Sop.Tec.LinuxPPP] Servidor apache con virus.
  - De: Leopoldo Santiago
- Re: [Sop.Tec.LinuxPPP] Servidor apache con virus.
  - De: Alexander Kouznetsov

Previo por Fecha: RE: [Sop.Tec.LinuxPPP] emuladores de winbugs para linux
Siguiente por Fecha: RE: [Sop.Tec.LinuxPPP]Duda de Proxy
Previo por Hilo: Re: [Sop.Tec.LinuxPPP] Servidor apache con virus.
Siguiente por Hilo: [Sop.Tec.LinuxPPP] Accesorios para redes

[Hilos de Discusión] [Fecha] [Tema] [Autor]