Avatar billede danscape Nybegynder
25. august 2001 - 11:43 Der er 15 kommentarer og
3 løsninger

Dommererkendelse

Hejsa!

Min Windows 2000 Server er nu blevet angrebet med Code Red Worm II for 5. gang på én uge!

Jeg har sikkerhedspatches til IIS 5.0, men de virker tilsynelandende ikke rigtigt (Sjovt nok! Det er jo Microsoft!!!)

Jeg kører ikke rigtig med nogen firewall, men har hørt at sådan en heller ikke rigtig kan stoppe Code Red Worm! Ved I om der findes en log på computeren, hvor jeg kan se hvilken IP adresse Code Red Worm er kommet fra?

Jeg har talt med TDC vedr. om de evt. kunne se min trafik, men de sagde at jeg skulle have en dommererkendelse først, hvis de skulle oplyse mig hvilken IP adresse Code Red Worm angrebene kommer fra!


Jeg når lige at kører en CodeRedCleanUp og rebooter så serveren og bingo så er Red Worm der igen.....  :(


- Kasper!
Avatar billede eflow Nybegynder
25. august 2001 - 11:44 #1
prøv at se om Zonealarm ikke kan tage det...
Avatar billede razor Nybegynder
25. august 2001 - 11:45 #2
5 gange på en uge ? Du er sq heldig - min private webserver på min workstation får omkring 120 angreb om dagen. Længe leve apache :)
Avatar billede dna Nybegynder
25. august 2001 - 11:49 #3
hhmm.. begynder at tænke på... Hvordan ved jeg om jeg har fået den røde satan ind på min ??! (Jeg bruger IIS i Windows2000 Pro)

dna
Avatar billede danscape Nybegynder
25. august 2001 - 11:50 #4
Jeg kan sikkert godt få flere angreb om dagen ;) Jeg får nye angreb hver gang jeg \"uninstaller\" Code Red Worm! Det kan da godt være at jeg så får 400 angreb om dagen! Men som mit spørgsmål går ud på, vil jeg da gerne se en log der kan vise mig hvor mange angreb jeg får om dagen og hvor fra!

Der må stå en server et sted og angribe mig og ejeren er måske ikke klar over at hans server er infedted, men når jeg har IP-adressen kan jeg prøve at kontakte server admin. for serveren eller hacke den ned, så den ikke angriber mig mere :)


- Kasper!
Avatar billede bobbedude Nybegynder
25. august 2001 - 11:50 #5
Avatar billede danscape Nybegynder
25. august 2001 - 11:51 #6
Tjek C:\\inetpub\\scripts  hvis der ligger en fil der hedder root.exe er din server infectet!

- Kasper!
Avatar billede danscape Nybegynder
25. august 2001 - 12:22 #7
Hmmm.... i SecureIIS 15 dages prøveversionen er log/error file funktionen disablet :(

Kan ZoneAlarm \"sladre\" om hvorfra og hvornår den der Code Red Worm kommer? Jeg vil helst gerne have en IP-adresse.....


- Kasper!
Avatar billede victor44 Nybegynder
25. august 2001 - 13:25 #8
Prøv at koble maskinen fra inden og mens du fjerner ormen.
Lad være med at koble den på nettet før du har lavet opdateringen.

LuF
Avatar billede bosse88 Nybegynder
25. august 2001 - 13:29 #9
Jeg læste dette spm og fandt ud af at min computer havde code red worm, jeg installerede patchen og jeg har ikke nogen code red worm virus inde på min computer længere... Er du sikker på at du ikke har gjort et eller andet galt???
Avatar billede bojohansen Nybegynder
25. august 2001 - 13:30 #10
c:\\winnt\\system32\\Logfiles\\ Her er der en mapper der sikkert hedder \'W3svc1\' der i ligger dine log files. Her kan du se Ip nummerene på dem som er inde på din server.

Søg i filerne efter default.ida

Det er den fil Virusen søger efter, findes den ikke prøver den at inficere dig.

Hent Patch fra MS.com

Ryk dit internet stik ud af væggen.

Install Patch.

Fjern inetpub\\scripts\\root.exe filen manuelt hvis den er der.

Brug evt. også det CleanUp program MS har lavet (ved ikke hvor det er )

Genstart svinet, uden internet forbindelse og se om root.exe kommer tilbage af sig. Hvis ikke genstart og gå online se om root.exe er der igen.
Er root.exe der igen har du et problem med patchen :-(

Husk at du SKAL have Service Pack 2 installeret på maskinen.
Avatar billede victor44 Nybegynder
25. august 2001 - 13:32 #11
Med hensyn til at få af vide hvor din orm kommer fra er det meget begrænset hvad du kan bruge ZA til.
Den fortæller dig jo kun at der er nogle som bruger din webserver og det er jo det den er der for. Ellers slå den fra.
Du må have en log over hvilke sider der besøges og over hvilke sider folk ikke får fat i.
Du skal lede efter noget der ligner dette :

80.62.119.96 - - [17/Aug/2001:14:10:12 +0200] \"GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0\" 403 48             

Der er ca. 20-50 \'angreb\' af denne slags i min log i døgnet. Så jeg er ikke sikker på at
din ISP kan følge op på dem alle.
Dem der er inficeret aner det sikkert ikke engang selv.

Det er ikke sikkert at det ser ens ud i din log, men sådan ser det ud når man bruger apache.

Skift dog den elendige W2K webserver ud med en apache, den fås også til Microsoft ;-)

LuF
Avatar billede danscape Nybegynder
25. august 2001 - 13:50 #12
Bojohansen >>>> Ahaaa....

Siger det her dig noget?

2001-08-21 13:52:08 192.94.170.8 - 192.168.1.6 80 GET /scripts/root.exe /c+iisreset+/stop 502 Lynx+2.5++libwww-FM/2.14

root.exe? Er det den IP min Code Red Worm er kommet fra??


- Kasper!

Avatar billede danscape Nybegynder
25. august 2001 - 13:54 #13
Vi kan jo se at der står noget med root.exe ud fra IP adressen 192.94.170.8 !


- Kasper!
Avatar billede eflow Nybegynder
25. august 2001 - 14:13 #14
jeg har set en lille dns på den server:
krusty-motorsports.com
Avatar billede darkside Nybegynder
25. august 2001 - 14:19 #15
Hm tjekkede lige min server, det har også været Code Red angreb, godt man kører med Apache :)
Avatar billede bojohansen Nybegynder
25. august 2001 - 18:53 #16
http://192.94.170.8

kig på det link, han her code red..... det er hans server der har prøvet at se om /scripts/root.exe var på serveren.

Muligvis er det ham der hans server der har lagt det ind på din for det giver ingen logik at se efter den sti da den ikke kan/bør være synlig igennem port 80.

Men tag det nu helt roligt, det er ikke hans skyld!!
Avatar billede thomasledet Nybegynder
27. august 2001 - 10:28 #17
bojohansen>og det... det er det jo så alligevel... han har ikke vedligeholdt sin maskine ordentligt og installeret de nyeste patches... men det er han ikke ene om!
Avatar billede bojohansen Nybegynder
27. august 2001 - 11:03 #18
-->thomasledet
Ja det er selvfølgelig rigtigt.

Hmmm ser lige min tidligere besked.........den er da ikke til at læse *LOL*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester