вирус называется nimda читай admin наоборот... :)

опечатки :)

Нимбда - д немое и проглатывается имелась ввиду связка Mozilla/Apache/Samba и Mozilla запускается не из под рута :)

IIS тоже не от Администратора пускается, вот ведь беда, а? Самба пускается от рута. Апач тоеж довольно часто пускается от рута (по крайней мере первый процесс)

Писец Билли пришел :-)

IIS тоже не от Администратора

А как тогда получилось, что IE может править системные файлы IIS? IE от администратора? В Linux'e есть возможность вообще /usr сделать read-only и не бояться вообще ничего (Мозиллы из под рута, скажем)

> /usr сделать read-only и не бояться вообще ничего (Мозиллы из под рута, скажем)
??? chmod вирусу не трудно вызвать
другое дело - мало идиотов гоняющих мозиллу под рутом


> А как тогда получилось, что IE может править системные файлы IIS?
Права стоят по умолчанию.
В NT юзер по умолчанию не намного меньше прав
имеет, чем администратор

chmod на read-only?! Уважаемый, rtfm! ;) ибо монтируется /usr в ro. ;) И chmod тут не поможет. Да и не про умолчательные права речь ;)

Blin narod, eto fekalii ot novogo virusa ?

Thu Sep 20 11:52:20 2001 error client xxx.xxx.xxx.xxx File does not exist: /var/www/.../MSADC/root.exe
Thu Sep 20 11:52:20 2001 error client xxx.xxx.xxx.xxx File does not exist: /var/www/.../c/winnt/system32/cmd.exe
Thu Sep 20 11:52:21 2001 error client xxx.xxx.xxx.xxx File does not exist: /var/www/.../d/winnt/system32/cmd.exe
Thu Sep 20 11:52:22 2001 error client xxx.xxx.xxx.xxx File does not exist: /var/www/.../_vti_bin/..%5C../..%5C../..%5C../winnt/system32/cmd.exe
Thu Sep 20 11:52:22 2001 error client xxx.xxx.xxx.xxx File does not exist: /var/www/.../_mem_bin/..%5C../..%5C../..%5C../winnt/system32/cmd.exe
Thu Sep 20 11:52:23 2001 error client xxx.xxx.xxx.xxx File does not exist: /var/www/.../msadc/..%5C../..%5C../..%5C/..^../..^../..^../winnt/syst

error_log za poslednie 2 dnja uzhe razrossja bol'she chem za neskol'ko mesjachev od CodeRed s ego default.ida-oj ;-)

Blin, hot' fil'truj error_log'i kazhduju noch...
Hm, a mozhet uzhe modul' apachevskij pojavilsa kotoryj eto delaet - pojdu iskat'...

mount -o remount,rw /usr спасёт отца русской демократии

да мало ли способов поиметь систему кроме записи в /usr???

имея root на стандартном ядре (без наворочаных секурити патчей) можно поиметь всё что угодно, хоть у тебя вся файловая система на cdromе лежит

firewall+application shield+IDS+прямые руки.

>имея root на стандартном ядре >можно поиметь всё что угодно, хоть у тебя вся файловая система на >cdromе лежит

ну поимей ;)

Все это присказку про неуловимого Ивана/Джо/... напоминает.
Чего там есть чего нельзя сделать на линухе. Кстати черви массово появились на Линухе раньше чем на Винде. Во всем кривые ручки виноваты. Если на Линухе нет такой пакости то это значит что в Линукс комьюнити нет человека Способного и Готовного написать такое. Либо же линукс настолько мало распростронен что вирусам на них просто места нет где развернуться. :)

Во фре для этого есть noschg флаг и secure levels.
На максимальном фиг тебе кто-то даст что-то монтировать/размонтировать, будь ты хоть трижды рут.
Также отрубается доступ к девайсам /dev/mem и /dev/kmem.
Как побочный эффект, иксы фиг запустишь :)

Ну был червь у меня на RH. Залез через дырку в binde потыкался, потыкался и отсосал. Потому что рутовые эксплойты в Линуксе появляются очень редко и воспользоваться ими не так просто.

Я согласен, что грамотный вирус для Linux написать можно, но его отлаживать придется год всем миром ( Open Sourse :). Это тебе не винда, в которой Микросакс предусмотрительно сделал все мыслемые и немыслемые удобства для активации вредоностного софта.

2shuras (*) (2001-09-20 14:14:33.0):
> Если на Линухе нет такой пакости то это значит что в Линукс
> комьюнити нет человека Способного и Готовного написать такое.

Достает подобный бред!

Вирусы - порождение M$. Вернее, результат воплощения в жизнь ее лозунга
"Каждая кухарка способна стать главным сисадмином большой корпорации!"

Вспомните, когда вместо M$ Win были Маки... И вирусы были, кстати,
но опасны эти вирусы, почему-то, были только в фантастических фильмах.

Далее - Какой Web сервер наиболее распространен? - Правильно, Апач.
И, кстати, Линукс тут не при чем, на NTях тоже апачей пока больше,
чем ISS.

А ломают, почему-то, ISS! Уже второй раз черви через него лезут.
Ни разу пока Апач не устраивал ТАКОГО, как ISS с Code Redом и вот, теперь
с Nimda.

ISS?

s/ISS/IIS, of course

Анонимусу (2001-09-20 15:54:38.0)
"А ломают, почему-то, ISS! Уже второй раз черви через него лезут. "
Не несите ерунды. Nimda использует дыры в IIS трехмесячной давности.
http://www.cert.org/advisories/CA-2001-26.html
Патчи уже давно доступны. Если кто-то не патчит свои машины - то это не вина производителя.
IIS чертовски дырявая вещь, но нынешняя эпидемия говорит только о том, что в округе полно дикоживущих дятлов. И не более того. Будте точнее в своих репликах.
"Ни разу пока Апач не устраивал ТАКОГО" - зато почти ТАКОЕ устроил Bind =< 8-2-2 в январе сего года. И черви, реализующие tsig bug в Bind, то есть вирусы типа Lion, Ramen, etc, хочу обратить Ваше внимание были только под линукс. Solaris и BSD обладали только уязвимостью самого бинда.

Прикол, на тему :"*nux Nimba не подвержен!" :-))

Date:      Tue, 18 Sep 2001 21:38:19 -0700 (PDT)
From:      klein brock <getzz1@yahoo.com>
To:        freebsd-stable@FreeBSD.org
Subject:   virus ?
Message-ID:  <20010919043819.45703.qmail@web20108.mail.yahoo.com>


i'm currently using freebsd4.4-prerelease .... but my
server is infected by a virus:

208.187.190.248 - - [18/Sep/2001:20:40:04 -0700] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 301  
208.187.190.248 - - [18/Sep/2001:20:40:04 -0700] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 301

if i upgrade it to 4.4-stable, will the virus remove
from my server ? or i have to re-install by cd and
cvsup ?

can i know what the possibility that my server
infected by this virus ?

Thanks in advance.

2Krause (*) (2001-09-20 17:37:59.0):
> Не несите ерунды. Nimda использует дыры в IIS трехмесячной давности.
> Если кто-то не патчит свои машины - то это не вина производителя.
Совет: cначала читаем, потом думаем и только потом пишем.

Я писАл, что, несмотря на бОльшее по сравнению с IIS распространение
Апача, ни одна дыра в нем не приводила к массовым эпидемиям. Тем самым ваш
аргумент про "неуловимого Джо" отметается. Ваше возражение про "трехмесячную
давность" не имеет отношения к предмету разговора. Действительно,
1) Nimda бушует сейчас,
2) До сих пор имеется масса Апачей, Сендмейлов, Байндов и т.д. с не закрытыми
дырами. Но таких катастрофических эпидемий это не вызывало, со времен червя
Морриса.

> Ни разу пока Апач не устраивал ТАКОГО" - зато почти ТАКОЕ устроил Bind
> =< 8-2-2 в январе сего года.
Bind даже близко к ТАКОМУ не приближался. Посмотрите на "хит-парады" вирусов.
Вы там не найдете даже упоминания о Bind'е. Мало того, я вообще не слышал,
чтобы кто-нибудь из атакованных через дырку в Bind'е действительно пострадал.
Более того, я ни разу не слышал, чтобы кто-либо, НЕ использующий M$,
пострадал от какого-нибудь червя (после истории с Моррисом).

2anonymous (*) (2001-09-20 19:32:26.0):
Ха-ха-ха...

А вы говорите -- "Интеллект; BSD - элита!"...

>А вы говорите -- "Интеллект; BSD - элита!"...

Да это робяты шутють...

Наверное, все-таки Nimda... И потом, через тот же дырявый Netscape можно сделать remote user compromise, а потом, воспользовавшись какой-нибудь локальной дырой в системе - и root compromise.

grep system32 /var/log/apache/error_log | wc -l
6623

:-)

хм... а как этот самый нимда.. на линукс влияет??.. только в логи апача пишет??..

а то я тут обнаружил и его и КодеРед =

>>grep system32 /var/log/apache/error_log | wc -l
>>6623

У меня уже больше в два раза, и это за третьи сутки...
Запросик к запросику...байтик к байтику = траффик
зае$бали эти M$ черви.., за входящий траффик деньги плачены..... УРОДЫ

Дело в том, что мой сервер не зарегистрирован ни в какой поисковой машине, найти его можно только случайно.

И вообще все это смахивает на терроризм - то 11-того оптоволокно перерезали какие-то м*даки (73 нити - офигеть!), то вирусы всякие трафик увеличивают... :-)

2 anonymous (*) (2001-09-20 19:39:46.0)

Ты как-то зациклился на апаче. Апаче не есть Линукс. Использовать уязвимость апача гораздо труднее ибо: сколько на Линухе дистров? Сколько ОС кроме линуха где апач? Сколько платформ окромя 386 других на которые Апач ставят. Если кто-нибудь напишет прогу которая будет по этому зоопарку лазить то я сниму шляпу. Вот тут отладка в опен соурс и потребуется. :) Но если бы линух стоял везде на одних i386 да еще у админов которые нынче на IISах (ну конечно бы они все юзали один дистр типа Редхата или его заменитель, здесь эстэтов нет) то было бы все гораздо веселее. Неуловимый джо катит еще как. И никакой отладки всем миром не требовалось бы. Может я плохо знаю винду, но помоему написать могучего червя под Линух гораздо проще. Окромя апача есть еще куча всего. У меня хороший друг работает в вообщемто немаленьком институте. Там у них физики развели кучу ферм. Out of box что называется. Ну и считают на них. Первая же волна накрыла все эти фермы так что сеть напряглась. На фермах не обошли вниманием никого. Сам видел ворма. Залез на свежеустановленную машину через фтп. За час до того как он был проапграйжен :) Такой наглости я прям не ожидал и пришлось попарится чтоб впервые увиденный ворм снести. Кстати это было за пол года до того как тут про вормов писать стали. Ворм еще не доделан был. Потому я его быстро и раскусил. Другой знакомый видел червя на бсд. И что? Много знакомого народу сидят на ИИСах ставят апдейты и хихикали когда видят как к ним кто-то из Линуховых червей ломится. Но это не повод заявлять что Линух хуже. Почему-то когда здесь возникает топик про Линухового ворма сразу те чьи платформы ворм обошел начинают поплевывать с высока на тех на кого насели. Возникает приятное чуство собственной элитарности чтоли. Братья психологи наверное это смогут обьяснить. Причем плюют на Линуксоидов. Однако зашитники апаче помалкивают в это время. Могу поспорить что есть и любители Мелкософтовского бинда ака Неуязвимый :) Все это однобокий подход однобоких людей побольшей части. Просьба не воспринимать как оскорбление. Все мы были однобокими в детстве. Время лечит.

2 anonymous (*) (2001-09-20 19:39:46.0)

Ты как-то зациклился на апаче. Апаче не есть Линукс. Использовать уязвимость апача гораздо труднее ибо: сколько на Линухе дистров? Сколько ОС кроме линуха где апач? Сколько платформ окромя 386 других на которые Апач ставят. Если кто-нибудь напишет прогу которая будет по этому зоопарку лазить то я сниму шляпу. Вот тут отладка в опен соурс и потребуется. :) Но если бы линух стоял везде на одних i386 да еще у админов которые нынче на IISах (ну конечно бы они все юзали один дистр типа Редхата или его заменитель, здесь эстэтов нет) то было бы все гораздо веселее. Неуловимый джо катит еще как. И никакой отладки всем миром не требовалось бы. Может я плохо знаю винду, но помоему написать могучего червя под Линух гораздо проще.
Окромя апача есть еще куча всего.
У меня хороший друг работает в вообщемто немаленьком институте. Там у них физики развели кучу ферм. Out of box что называется. Ну и считают на них. Первая же волна накрыла все эти фермы так что сеть напряглась. На фермах не обошли вниманием никого.
Сам видел ворма. Залез на свежеустановленную машину через фтп. За час до того как он был проапграйжен :) Такой наглости я прям не ожидал и пришлось попарится чтоб впервые увиденный ворм снести. Кстати это было за пол года до того как тут про вормов писать стали. Ворм еще не доделан был. Потому я его быстро и раскусил.
Другой знакомый видел червя на бсд. И что?
Много знакомого народу сидят на ИИСах ставят апдейты и хихикали когда видят как к ним кто-то из Линуховых червей ломится. Но это не повод заявлять что Линух хуже.
Почему-то когда здесь возникает топик про Линухового ворма сразу те чьи платформы ворм обошел начинают поплевывать с высока на тех на кого насели. Возникает приятное чуство собственной элитарности чтоли. Братья психологи наверное это смогут обьяснить. Причем плюют на Линуксоидов. Однако зашитники апаче помалкивают в это время. Могу поспорить что есть и любители Мелкософтовского бинда ака Неуязвимый :)
Все это однобокий подход однобоких людей побольшей части. Просьба не воспринимать как оскорбление. Все мы были однобокими в детстве. Время лечит.

2anonymous (*) (2001-09-20 19:39:46.0)
Если я не правильно Вас понял - прошу прощения. Мне показалась только что фраза "А ломают, почему-то, ISS! " - относится к nimd'e и к нынешней ситуации, что совершенно не верно. Нимда никого не ломает, а просто использует старые баги.
"Bind даже близко к ТАКОМУ не приближался" - Я, если бы не потер - февральские логи файрвола Вам показал с запросами на 53 TCP. До нынешнего поделия далеко, и до CodeRed тоже, но зато все остальное переплюнет запросто.

тут кто-то спрашивал, как nimda влияет на линуксовый сервер - а трафик увеличивает, и все. Кстати, гдето я видел мысль создать античервь на том же принципе что и сам червь. только он прийдя на машину будет ее патчить, скачивая патч с www.microsoft.com. Может свободные люди(open source community) помогут своим меньшим братьям, и напишут такой античервь? :)

>И вообще все это смахивает на терроризм - >то 11-того оптоволокно перерезали какие-то м*даки (73 нити - >офигеть!), то вирусы всякие трафик увеличивают... :-)

У нас в татарстане это было :)) типа трубы прокладывали и оптоволокно мешалось :) они же не знали что это такое думали какая то фигня ну и экскаватором капунли :)))

2shuras (*) (2001-09-21 09:25:38.0):
> Ты как-то зациклился на апаче.
Просто иллюстрация к неуловимому Джо. Апачей больше, чем IISов,
хотя две недавних атаки (Code Red и Nimda) были направлены на IIS,
а на Апач подобных атак ни разу не было.

> Апаче не есть Линукс.
А как они вообще связаны?

> Использовать уязвимость апача гораздо труднее ибо:
> сколько на Линухе дистров? Сколько ОС кроме линуха где апач? Сколько платформ
> окромя 386 других на которые Апач ставят. Если кто-нибудь напишет прогу которая
> будет по этому зоопарку лазить то я сниму шляпу.
Не понял...
Платформы разные, а Апач -- один. К тому же, я говорил про
_!АПАЧ НА NT!_

> Может я плохо знаю винду, но помоему написать могучего червя под Линух гораздо
> проще.
Я, конечно, извиняюсь, но иногда у меня складывается впечатление о некоей
злонамеренности оппонентов;) С чем конкретно вы не согласны?

Еще раз:
1) Апачей на NT больше, чем IIS
2) IIS уже 2 раза становился источником вирусных пандемий. Апач - ни разу.

Могучего червя под Линух написать гораздо проще, чем под Win, естественно,
потому что win32 API - просто песТня, я вообще не понимаю, как народ под
ним пишет. Линукс же намного проще, логичнее и, вообще, в него значительно
легче "войти".

Вот только червь этот никакой эпидемии не вызовет.

> Почему-то когда здесь возникает топик про Линухового ворма сразу те чьи
> платформы ворм обошел начинают поплевывать с высока на тех на кого насели.
Пожалуйста, пример такого "Линухового ворма", по поводу которого "здесь
возникал топик" и от которого кто-либо конкретно ПОСТРАДАЛ.

Ну, может, и найдете пару-тройку недоумков (мне такие не известны),
но - именно пару-тройку. Эпидемий же нет (факт) и быть не может (IMHO).

В конференции по Win95 кто-то написал фразу "у меня мастдай повис".
Модератор ответил плюсом (замечание за некорректное поведение) за
неуважительное высказывание в адрес темы конференции.
- Да это я не про Windows, это моя программа мастдай - попытался оправдаться
потерпевший, на что модератор возразил:
- Не надо демагогии, здесь все знают, кто такой мастдай!

Анонимусу 2001-09-21 16:42:45.0

Пожалуйста, пример такого "Линухового ворма", по поводу которого "здесь возникал топик" и от которого кто-либо конкретно ПОСТРАДАЛ.

http://www.linux.org.ru:8101/view-message.jsp?msgid=66486
http://www.linux.org.ru:8101/view-message.jsp?msgid=65237
http://www.linux.org.ru:8101/view-message.jsp?msgid=63071
http://www.linux.org.ru:8101/view-message.jsp?msgid=59681
http://www.linux.org.ru:8101/view-message.jsp?msgid=77091
http://www.linux.org.ru:8101/view-message.jsp?msgid=75975

http://www.linux.org.ru:8101/view-message.jsp?msgid=59479
http://www.linux.org.ru:8101/view-message.jsp?msgid=73391

Не понял... Платформы разные, а Апач -- один. К тому же, я говорил про _!АПАЧ НА NT!_

Апач то один. Одна из маз проникнуть в систему это эксплоит. Я может подотстал в технике клепания эксплоитов. Тут я не эксперт. Но раньше как правило для буфер оверунов для одной баги под каждую платформу свой эксплоит клепали. Универсальных не видел. Хотя я не эксперт. То что апач не становился причиной согласен. Но моя точка зрения что сложнее написать прогу которая успешно использует дыру апача которых вообщем-то особо не было в последнее время. А если сложнее будет дыру использовать то зачем ее искать. Ну да это ладно. Апач причиной эпидемии не становился оки. Микрософтовскый ftp тоже причиной эпидемий не становился. Что из этого следует. Надежность винды? Нет. Также и из апача не следует надежность Линуха. Логика правильна? Далее я писал про Линух а не апач. Следовательно ты должен знать как Линукс связан с Апаче. Или ты хотел поднять тред "Апач Нимбде не подвержен"? :) Тогда извеняй не успел переключиться.

unix virus

http://www.rt.mipt.ru/~grange/worm.txt

Че вы тут демагогию развели? Windows XP (со своим IIS, IE и Outlook) тоже этому червю не подвержен :))

Qrot

Krause (*) (2001-09-21 17:55:54.0)
Как я и думал - "Пара-тройка недоумков". Изо всех приведенных ссылок
реально пострадавшим оказалась лишь одна Вера.

А один мой приятель принципиально под рутом работает.
Раз в полгода система приходит в нерабочее состояние вообще безо всяких
вирусов...

shuras (*) (2001-09-21 17:58:33.0):

> Апач причиной эпидемии не становился оки. Микрософтовскый
> ftp тоже причиной эпидемий не становился. Что из этого следует.
> Надежность винды? Нет. Также и из апача не следует надежность Линуха.
> Логика правильна?
Логика правильна.
Аргумент с Апачем был представлен как антитеза к "неуловимому Джо".

Принимается.

to ico

mount -o remount -rw /

Млин. Вот придурки. День админа - имеющего сервера на NT, обязан начинаться с просмотра новостей с Microsoft'а, с последующим патчением вылезших дырок. Последее время MS достаточно оперативно реагирует на все глюки в своих продуктах. Касабельно нового Internet-червя - глянул краем глаза - в среднем 5-6 обращений с различных сайтов в минуту проходит. И всем - хочется. ;-}}

/ERIC THE RED

2anonymous (*) (2001-09-23 19:34:18.0)
:)) Внесите ясность, сударь. Кто же тогда от нынешних эпидемий страдает, IIS'ы, Bind'ы или "недоумки?"

2Krause (*) (2001-09-24 16:12:33.0):

> Кто же тогда от нынешних эпидемий страдает, IIS'ы, Bind'ы или "недоумки?"
Я:)
Как Нимда зазвездела, я до России достучаться не могу. Интернет перегружен,
как 11 сентября.

Если серьезно, то админ средней руки не может справиться с нтей 0:)
Сколько тут наблюдал - все ставят win2000 и работают с правами администратора.
БОЛЬШЕ ПОЛОВИНЫ известных мне юзеров. Как Корн сказал, нтя обладает
"менталитетом однопользовательской системы", и работать с ограниченными
правами на ней - не комфортно.

А причина все та же - M$ в погоне за бабками наплевала на все десятилетиями
наработанные принципы и гонит халяву. Дешевле потратить деньги на рекламу,
чтобы скормить пользователю халяву (IIS e.g.), чем вкладываться во что-то
действительно стОящее (a'la Апач).

То же и с безопасностью: для того, чтобы держать систему в работоспособном
состоянии, админ должен начинать каждый день с затыкания дыр, обнаруженных
в системе за ночь. И этот бред нам преподносят как некую неоспоримую истину!

Представьте себе, что будет после повсеместного внедрения дотНет, основанную по
сути на RPC, да еще с централизованным храненим паролей! Опять нарушение базовых
идей скармливают нам как передовую технологию...

2Анонимусу 2001-09-24 17:52:44.0
"Если серьезно, то админ средней руки не может справиться с нтей 0:) " - Не то чтобы справится, но чтобы заставить ее ХОРОШО работать - да. Я видел очень мало действительно квалифицированных NT админов. А вот "кухарок" - до хрена:))
"этот бред нам преподносят как некую неоспоримую истину! " - я бы не сказал что это бред. Любой админ должен ежедневно читать багтрак, также как и ежедневно должен апдейтится антивирус. И это 75% безопасности сети на любой платформе.
А Мелкософт в погоне за бабками просто кидает на рынок откровенно сырые и недоделанные продукты, откуда мы и имеем результат. Пройдет время - багов в ИИСЕ будет меньше, но появятся другие поделия:))

2Krause (*) (2001-09-24 18:27:55.0):
> Я видел очень мало действительно квалифицированных NT админов.
Я ВООБЩЕ не видел, хотя и признаю, что это -- мои проблемы. Наверное,
они все же есть. "Действительно квалифицированных" линуксовых админов становися
все меньше и меньше, но я таких знаю лично.

> я бы не сказал что это бред. ... Должен ежедневно апдейтится антивирус. ...
Все-таки, ИМХО, это -- бред. Само существование вирусов, IMHO, бред. Не хочу
втягиваться во флейм, поэтому let's agree to differ.

> Пройдет время - багов в ИИСЕ будет меньше, но появятся другие поделия:))
Согласен.