01. juli 2002 - 22:04Der er
29 kommentarer og 3 løsninger
Jeg kan IKKE slippe af med Nimda
Hej med jer.
Jeg har haft nimda i den helt store stil på min webserver/iis. Da jeg ikke kunne slippe af med den selv om jeg prøvede både "fixnimda" og Norton corporate edition. Til sidst formaterede jeg computeren. Men enten har der ligget nogle skjulte rester på dokument-drev (DE BLEV SCANNET FØR JEG FORMATEREDE), eller også er der en eller anden, der giver mig den via serveren ?!?!? Nu har jeg brugt den nye installation i ca. to timer... Og hvad sker der:
Den står og opretter filer i scripts-mappen, som Norton ikke kan slette !?!? eller noget i den stil. Nu popper Norton ca. op hvert andet minut, og siger det jeg har kopieret ind ovenfor, bortset fra at filnavnet er ændret til andre tal ))o;
Sluk din IIS-server og hiv stikket ud til din net-forbindelse. Scan så din PC igen(evt. i fejlsikret tilstand).
Inden du hiver stikket ud til "omverdenen" har du hentet diverse patches, fixtools, servicepacks og antivirusopdateringer. Dem skal du installere uden netforbindelse, så skulle du være sikret.
goulduck >> Jeg glemte dem, i farten. Er det derfor ?? (Hvor hulen kommer den fra nu) ?? Norton kører hele tiden (Og har gjort det før jeg startede iis'en)
I den tidligere installation, slettede jeg de filer der var i karantæne, installerede updates osv, men den var skadet permanent. Kunne ikke engang starte explorer.exe )o;
Norton kan ikke sørge for at du ikke kan blive inficeret da hullet findes i IIS - Norton kan kun fortælle dig at du er inficeret. Hvis du havde hentet diverse servicepackes/hotfixes etc. inden du startede IIS'en op havde du ikke haft nogle problemer.
OK. Jeg skal lige være sikker denne gang (Jeg orker ikke mere)...
Hvis jeg nu formaterer een gang til, og installerer windows, henter alle sikkerhedsopdateringer fra update og så endelig starter min iis. Er i så sikre på at den er væk ? Kan den ikke ligge i mine dokument drev, som jeg ikke vil/kan formatere ?
legende->Hvis du gør det i den rækkefølge, så skulle du være sikret. Jeg har dog min tvivl om hvorvidt windows.update indeholder de specifikke Nimda-fixes. Hvis ikke så kan du læse om de forskellige fixes på diverse sider der omhandler Nimda. Symantec har ihvertfald en længere beskrivelse af det der kræves for at lukke hullerne.
Men hvad med iis'en. Måske skulle jeg skrivebeskytte den mappe (Scripts). Jeg skal kun have skriveadgang i 1 database, og jeg har lagt denne "sikkerhed" på selve mdb filen ! IUSR har ikke skriveadgang andre steder.
Jeg har nu prøvet både Den nye fixnimdaE (vesperillo) og den anden (rkhdk) Og begge sagde efter gennemsøgning af alle mapper, at der ingen Nimda var ?!? (Hvor hulen kommer de filer og norton advarsler så fra ?) (o;
Det er jeg meget ked af perj. Den er noget sejlivet...
Jeg har prøvet de anbefalede links her, men har den endnu. Så jeg prøver at formatere, update og Norton'e. Iflg. svarene her, er en ren computer med alle updates løsningen. /o;
Jeg kan meget nemt sige dig hvor de vira kommer fra!
De kommer fra Internettet. Læg mærke til at de ligger sig inde i C:\inetpub\scripts .. hvilket tyder på at det er der sårbarheden i IIS ligger.
prodic> Opdateringen burde ligge på Windows Update... i starten var Microsoft ikke så gode til at holde Windows Update - up-2-date, men det er de nu. Alle opdateringer kommer der ind og ligge.
Ellers kan du også scanne din maskine igennem med http://catchup.cnet.com som finder en masse opdateringer til din computer.
Det lyder godt nok meget underligt! Nu har jeg heller ikke fortalt at jeg også brugte AVG Antivirus til at fjerne Nimdaerne sammen med toolet, så hvis du har lidt båndbredde til overs så prøv at hent det. Det er meget effektivt. Det har også den fordel at selvom det måske ikke altid kan fjerne de pågældende filer kan det putte dem i karantæne(Vault), så de ikke spreder sig mere. En meget effektiv metode. Selvom Norton også er meget effektivt synes jeg du skulle prøve andre også. Endelig vil jeg sige at NÅR filerne er fundet og du sletter dem ,skal du også slette dem fra skraldespanden. Når så du har tjekket ALT kører du lige den her onlinescanning fra Trend Micro(som er de bedste!) http://housecall.antivirus.com/pc_housecall/
goulduck->Jeg mener også at de fleste hotfixes er med i update efterhånden, men mener at de kommer som hotfix først og så senere på update'en i en "samlet" pakke. Det er måske bare mig der er lidt mistroisk over for MS fra tid til anden :-) Udover cathcup.cnet kan vi vel også anbefale BigFix Microsoft Security Baseline Analyzer - hvis de 3 alle sammen melder om "rent hus" så burde der ikke være noget at komme efter længere.
Den blev lidt stille i aftes, men nu står den igen og laver filer i scripts mappen. Jeg vil nu formatere og installere alle updates, inden jeg igen kører webserveren. MEN hvad med mine dokument-drev, og siderne/filerne i min wwwroot. Den skal jeg jo bruge igen, og så går det hele måske galt een gang til ?????? Håber i har en hurtig og klar melding på dette (o;
Den (PC-cillin 2002) scanner nu, og har fundet filerne i scripts mappen. Men "action failed". Den kunne ikke gøre noget ved det ?? Billigt bras.
Jeg vil gerne ofre 100 points mere, til den perfekte løsning, hvor jeg kan redde mine dokumenter og min wwwroot, og komme op at køre igen i dag, uden nogen sinde at bekymre mig om NimdaE, NimdaA eller NimdaEnc mere !!!
Så. Nu er jeg kørende igen med ny installation, alle opdateringer i hus, og Norton kørende. Jeg har også skrivebeskyttet hele wwwroot + undermapper, og kun åbnet skriveadgangen på en databasefil.
Så er det bare at holde vejret de næste timer (o;
(Jeg snakker med mig selv, snakker med mig selv.............tra la la)
Hidsig omgang må jeg sige! Prøvede du også at hente den virusscanner, AVG Antivirus, hos www.grisoft.com ? Gør mig en tjeneste og prøv den.. Den virker altså godt :)
Der har ikke været noget endnu, og IIS'en kører der-ud-af (o;
Jeg tror det har virket. Men jeg prøver lige den sidste scanner, du har foreslåët. Jeg er stadig nervøs for at der kunne ligge rester på andre drev, men der kan i hvert fald ikke komme noget nyt ind i wwwroot-mappen !!!
Nå, venner. Den kører stadig, uden problemer eller tegn på nimda overhovedet. Jeg tillægger Windowsupdate og min nye skrivebeskyttede stil æren. Så godt som alle foreslåede viruskillere i jeres svar blev testet, men ingen kunne fjerne den. Jeg SKULLE formatere og installere igen...
OG NU TIL POINTS'NE; Efter gennemlæsning af jeres indlæg på ny bliver det så Prodic og Goulduck. Men mange tak til Vesperillo og rkhdh alligevel.
Tak for hjælpen, goulduck. Fra nu af kører jeg updates hver gang jeg skal installere noget ((o;
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
