[LUGOS-SEC] cudna vsebina v httpd access log
Andrej Mršek
andrej.mrsek at amis.net
Tue Oct 2 11:31:35 CEST 2001
Kot so ti odgovorili že drugi: Nimda.
Na Freshmeat imaš Perl skripto(http://freshmeat.net/projects/nimda/), ki
avtomatsko napravi reverse-look up iz IP naslova in potem administratorju pošlje
obvestilo. Če se ti seveda ljubi zabavati s tem.
Pa še to - Nimda se širi tudi preko windows deljenih virov v loklanem omrežju,
zato ti lahko nasmeti po tvojem Linux boxu en kup datotek (preko sambe), ki
sicer ne bodo napravile škode tvojemu strežniku, pač pa so izvor nadaljnih okužb
win računalnikov v omrežju.
Znak take okužbe je datoteka riched20.dll na vseh deljenih virih in
podirektorijih do koder je imel okoužen računalnik v omrežju dostop.
Lep pozdrav, Andrej M.
> Pozdravljeni,
>
> Tole sem nasel v logu. Predvidevamda je crv namenjen na Windowse. Kako
> lahko
> ugotovim kateri in kaj lahko ukrenem glede tega? Adresa naj bi bila iz
> ene
> egiptovske univerze.
>
> LP, Tomaž Zupan
> Administrator
> ORPO,d.o.o.,Kranj
>
>
More information about the lugos-sec
mailing list