25. august 2001 - 11:43Der er
15 kommentarer og 3 løsninger
Dommererkendelse
Hejsa!
Min Windows 2000 Server er nu blevet angrebet med Code Red Worm II for 5. gang på én uge!
Jeg har sikkerhedspatches til IIS 5.0, men de virker tilsynelandende ikke rigtigt (Sjovt nok! Det er jo Microsoft!!!)
Jeg kører ikke rigtig med nogen firewall, men har hørt at sådan en heller ikke rigtig kan stoppe Code Red Worm! Ved I om der findes en log på computeren, hvor jeg kan se hvilken IP adresse Code Red Worm er kommet fra?
Jeg har talt med TDC vedr. om de evt. kunne se min trafik, men de sagde at jeg skulle have en dommererkendelse først, hvis de skulle oplyse mig hvilken IP adresse Code Red Worm angrebene kommer fra!
Jeg når lige at kører en CodeRedCleanUp og rebooter så serveren og bingo så er Red Worm der igen..... :(
Med OS2ai forsøger Aarhus Kommune og OS2-fællesskabet at give offentlige medarbejdere adgang til generativ AI uden at gøre kommunerne mere afhængige af amerikanske techgiganter.
Jeg kan sikkert godt få flere angreb om dagen ;) Jeg får nye angreb hver gang jeg \"uninstaller\" Code Red Worm! Det kan da godt være at jeg så får 400 angreb om dagen! Men som mit spørgsmål går ud på, vil jeg da gerne se en log der kan vise mig hvor mange angreb jeg får om dagen og hvor fra!
Der må stå en server et sted og angribe mig og ejeren er måske ikke klar over at hans server er infedted, men når jeg har IP-adressen kan jeg prøve at kontakte server admin. for serveren eller hacke den ned, så den ikke angriber mig mere :)
Jeg læste dette spm og fandt ud af at min computer havde code red worm, jeg installerede patchen og jeg har ikke nogen code red worm virus inde på min computer længere... Er du sikker på at du ikke har gjort et eller andet galt???
c:\\winnt\\system32\\Logfiles\\ Her er der en mapper der sikkert hedder \'W3svc1\' der i ligger dine log files. Her kan du se Ip nummerene på dem som er inde på din server.
Søg i filerne efter default.ida
Det er den fil Virusen søger efter, findes den ikke prøver den at inficere dig.
Hent Patch fra MS.com
Ryk dit internet stik ud af væggen.
Install Patch.
Fjern inetpub\\scripts\\root.exe filen manuelt hvis den er der.
Brug evt. også det CleanUp program MS har lavet (ved ikke hvor det er )
Genstart svinet, uden internet forbindelse og se om root.exe kommer tilbage af sig. Hvis ikke genstart og gå online se om root.exe er der igen. Er root.exe der igen har du et problem med patchen :-(
Husk at du SKAL have Service Pack 2 installeret på maskinen.
Med hensyn til at få af vide hvor din orm kommer fra er det meget begrænset hvad du kan bruge ZA til. Den fortæller dig jo kun at der er nogle som bruger din webserver og det er jo det den er der for. Ellers slå den fra. Du må have en log over hvilke sider der besøges og over hvilke sider folk ikke får fat i. Du skal lede efter noget der ligner dette :
Der er ca. 20-50 \'angreb\' af denne slags i min log i døgnet. Så jeg er ikke sikker på at din ISP kan følge op på dem alle. Dem der er inficeret aner det sikkert ikke engang selv.
Det er ikke sikkert at det ser ens ud i din log, men sådan ser det ud når man bruger apache.
Skift dog den elendige W2K webserver ud med en apache, den fås også til Microsoft ;-)
kig på det link, han her code red..... det er hans server der har prøvet at se om /scripts/root.exe var på serveren.
Muligvis er det ham der hans server der har lagt det ind på din for det giver ingen logik at se efter den sti da den ikke kan/bør være synlig igennem port 80.
Men tag det nu helt roligt, det er ikke hans skyld!!
bojohansen>og det... det er det jo så alligevel... han har ikke vedligeholdt sin maskine ordentligt og installeret de nyeste patches... men det er han ikke ene om!
Hmmm ser lige min tidligere besked.........den er da ikke til at læse *LOL*
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.