Re: Problema con vecchio worm "redcode" ....

Bloccare le macchine che ti "scansionano" perche' infette dal codered potrebbe
risultare in un denial of service nell'offerta dei servizi che i tuoi server
erogano.

Purtroppo, dovendo offrire servizi a *tutta internet*, devi permettere anche a
quelle macchine che sono affette da codered l'accesso ai tuoi server  ( pensa
se il proxy server di qualche grosso carrieri viene infettato e ti scansiona,
e tu lo blocchi fuori... ) .

L'unica soluzione che hai e' quella di "avvisare" tutti i sysadmin dei server
che ti scansionano del fatto che sono infetti.

Se utilizzassi Apache ci sarebbe questo modulo che, come riceve un tentativo
dal codered, invia immediatamente una mail al sysadmin del server da cui e'
arrivato lo scan avvertendolo dell'infezione:

http://www.geocrawler.com/lists/3/web/182/0/6332554

Alternativamente servirebbe scrivere un bel modulo per IIS che, come arriva uno scan
del codered, automaticamente viola il server remoto, scarica il
"coderedcleanup" e fixa il sistema ma diciamo che ci sarebbe qualche
problemino... legale .

Saluti

p.s. Se l'overhead dei sistemi lo vuoi trasferire dai server IIS
     al router, leggiti http://iponeverything.net/CodeRed.html
     che spiega come bloccare il CodeRed dal Router .

On Tue, Sep 18, 2001 at 01:15:54PM +0200, Enrico Valsecchi wrote:
> Mi ritrovo pero' ad avere i seguenti problemi:
> 
> 1) Immensa lunghezza nel caricamento delle regole di firewall
> 2) Divieto (ovvio) di accesso ai siti corrispondenti ai numeri ip
> sopracitati.
> 3) Aumento esponenziale del lavoro del firewall
[snip]

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List