Die Nimda-infected machines die de hele dag...

Ik ken het. Ik heb weleens achterhaald waar het vandaan kwam en een mailtje gestuurd, maar dat is gewoon niet te doen.

Aan de andere kant denk ik dat die machines uitzetten ook niet echt netjes is en misschien nog meer tijd kost dan de eigenaar achterhalen en een mailtje sturen.

Misschien een idee om een script te schrijven wat de de eigenaar achterhaald en automatisch een e-mail verstuurd.

Het idee is leuk, maar het mooiste is volgens mij als iedere administrator automatisch een mail krijgt, zonder dat jij op zn systeem bent geweest.

Zoals ik al zei, een waarschuwing uitprinten is leuk, maar kost tijd en de vraag is alleen of het wel legaal is...

Ik heb maar een grafiekje gemaakt met Nimda aanvallen met behulp van MRTG.

http://ghoster.dyndns.org/mrtg/worms.html

Op woensdag 31 oktober 2001 11:47 schreef Arjan_A het volgende:

[..]
Hoe wil je zo'n admin notifyen als je niet op z'n systeem kan komen? Het enige dat ik kan proberen is net send.

Je doet een whois query en zoekt informatie over de eigenaar van het ip-adres. Hieruit filter je de e-mailadressen en deze stuur je een e-mail.

Ik heb de waarschuwing reeds uitgeprint, dus daar is al niets meer aan te doen, maar ik zou ook niet weten of het legaal is.

Mijn voorgevoel zegt me dat dit niet legaal is... Je zit immers op zijn machine.

Zowel thuis als op het werk wordt je er aardig moedeloos van... Thuis zit ik met xs4all en kom je niet snel achter de juiste e-mail adressen... Thuis kijkt een cron-jobje ieder uur naar de ip nummers waar de nimda's, code red en code red II vandaan komen en zet ze er automatisch bij in de firewall... Dus na maximaal een uur krijgen ze een digitale middelvinger...

Op het werk hebben we versatel en daar kun je met behulp van whois heel makkelijk erachter komen welk bedrijf welke ip-nummer heeft... Als het een Nederlands bedrijf is en we hebben zin om te klieren, dan bellen we dat bedrijf eventjes op en vertellen even vriendelijk dat het niet helemaal goed gaat met hun computerpark...

Op woensdag 31 oktober 2001 11:39 schreef Ghoster het volgende:
Ik heb maar een grafiekje gemaakt met Nimda aanvallen met behulp van MRTG.

http://ghoster.dyndns.org/mrtg/worms.html

Kewl, ben best wel benieuwd naar de config... hint hint hint...

Tis een begin, maar je moet ergens beginnen...

Je zet de ipnrs onder elkaar in 'iplist'
Alle ipnrs worden opgezocht bij whois.ripe.net. Moeten alleen de e-mail adressen ff netjes gefilterd worden.

Iemand tips hiervoor?

Whizzer, het kan vast nog heel veel slimmer, maar dit werkt voor mij. (Oh, bijna vergeten, die stat1 en stat2 files moet je wel zelf even aanmaken (4 stuks))

Een scriptje met:

#!/bin/bash

# Variables, what to check in access log

STAT1="/default.ida?"
STAT2="/scripts/root.exe?/c+dir"
AALOG="/usr/local/apache/logs/access_log"
LOCATION="/root/mrtg"

# Don't change a thing underneath these lines

cd $LOCATION

COMM1=`grep $STAT1 $AALOG -c`
LAST1=`cat stat1.last`
TOTL1=`cat stat1.totl`

COMM2=`grep $STAT2 $AALOG -c`
LAST2=`cat stat2.last`
TOTL2=`cat stat2.totl`

if [ "$COMM1" -lt "$LAST1" ]; then
# Logrotate senario
COUNTER1=`echo $TOTL1 " " $LAST1 " " $COMM1 | awk '{print $1+$2+$3}'`
TOTL1=`echo $TOTL1 " " $LAST1 | awk '{print $1+$2}'`
echo $TOTL1 > stat1.totl
echo $COMM1 > stat1.last
else
# Normaal scenario
COUNTER1=`echo $TOTL1 " " $COMM1 | awk '{print $1+$2}'`
echo $COMM1 > stat1.last
fi

if [ "$COMM2" -lt "$LAST2" ]; then
# Logrotate scenario
COUNTER2=`echo $TOTL2 " " $LAST2 " " $COMM2 | awk '{print $1+$2+$3}'`
TOTL2=`echo $TOTL2 " " $LAST2 | awk '{print $1+$2}'`
echo $TOTL2 > stat2.totl
echo $COMM2 > stat2.last
else
# Normaal scenario
COUNTER2=`echo $TOTL2 " " $COMM2 | awk '{print $1+$2}'`
echo $COMM2 > stat2.last
fi

echo $COUNTER1
echo $COUNTER2
/usr/bin/uptime | awk '{print $3 " days"}'
echo "Andromeda"

en in een mrtg config file

Interval: 60
Refresh: 3600

# Target Configuration

Target[worms]: `[je scriptfile location]`
MaxBytes[worms]: 1000
Options[worms]: unknaszero,nopercent,integer,perhour

Toppie!!!

Ik heb zelf om nimda en alle andere exploits te blokken een virtual-host gemaakt die alle ip-based requests afhandeld. Mensen die naar a.b.c.d browsen krijgen een redirect te zien naar de echte page. De virtual-host is uiteraard helemaal dichtgetimmerd dus dat ik daar ook problemen mee krijg is onwaarschijnlijk. Normale requests naar mijn normale page worden zoals altijd afgehandeld.

Het werkt erg goed, m'n logs van de virtual-host (ik log het toch maar) staat helemaal vol met nimda en code red en alle normale request gaan naar de echte server.

Dit is niet iets wat je op een productie-server wilt doen, daar is het % nimda/code red request ook te verwaarlozen. Voor een prive gebruiker zoals ik werkt het wel goed.