Hilfeeee nicht schon wieder !!!!!!!!!
Ich habe Suse 7.3 NAT 2.4, Samba 2.2.1, Apache ganz normal installiert doch plötlich sehe ich das sich der NIMDA Virus auf den Samba Share eingenistet hat.
Von den Windosen kann er nicht kommen den dort habe ich überall ein Aktuelller Virenscanner NAV2002.
Wie schleicht sich der Scheisssss Virus in mein Linux ?????
Durch den SAMBA Share übers INET ?
Oder Apache ?
Bitte helft mier !!!!!!
VIRUS Nimda SUSE 7.3
Re: VIRUS Nimda SUSE 7.3
schau bitte mal in den apache logs nach. kannst es hier ja mal abdrucken. es kann aber nicht sein, dass nimda deinen linuxrechner infiziert.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
Re: VIRUS Nimda SUSE 7.3
Nimda ist ein Win32 executable virus und kann dem entsprechend unmöglich ein Linux-System befallen. Der Virus muß also zwangsfäufig von einem Windows-Rechner kommen. Das bestätigt mich in meiner Meinung, daß Norton Antivirus Mist ist.
bye.olli
--
"Where's Oswald when we need him.."
--
"Where's Oswald when we need him.."
-
Marc
Re: VIRUS Nimda SUSE 7.3
Nein nicht das Linux System ist befallen sondern nur der Samba Share in dem Win Programme abgelegt sind.
Irgendwie muss der (Apache) Samba Share ins Inet offen sein das Nimda die abgelegten Win Daten befällt.
Irgendwie muss der (Apache) Samba Share ins Inet offen sein das Nimda die abgelegten Win Daten befällt.
-
Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: VIRUS Nimda SUSE 7.3
Bist Du Dir sicher, daß sich die infizierten Daten nicht zufälling im Proxy-Cache befinden?
Und wie sieht denn dieser Virus aus? Hinzu kommt, daß es natürlich nicht auf die Softwareversion bei Antivirensoftware ankommt, sondern auf die Aktualität der AntiViredefinitionsdateien. Die Software kann durchaus 2-3 Jahre alt sein (NAV5 und NAV2000) erkennen ihn also z. B. auch, aber nur, wenn mit den aktuellsten AV Definitionen gearbeitet wird.
Selbstredend ist es ärgerlich, wenn irgendwo im Netz ein Virus ist, aber da Du ja nun weißt wo er ist, kannst Du ihn ja auch bekämpfen.
Gruß
Und wie sieht denn dieser Virus aus? Hinzu kommt, daß es natürlich nicht auf die Softwareversion bei Antivirensoftware ankommt, sondern auf die Aktualität der AntiViredefinitionsdateien. Die Software kann durchaus 2-3 Jahre alt sein (NAV5 und NAV2000) erkennen ihn also z. B. auch, aber nur, wenn mit den aktuellsten AV Definitionen gearbeitet wird.
Selbstredend ist es ärgerlich, wenn irgendwo im Netz ein Virus ist, aber da Du ja nun weißt wo er ist, kannst Du ihn ja auch bekämpfen.
Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
-
Marc
Re: VIRUS Nimda SUSE 7.3
Hy, Ja ich habe die neusten Virus Def. (Live Update). Der Virus ist nicht im Proxy Cache ich habe ein vollständiger Scann aller Windows Maschienen durchgeführt.
Ich habe zwei Netzwerkarten in meinem Linux,
eine fürs Cablemodem und eine fürs Interne Netz kann es sein das der Samba Share auf beiden Netzwerk Interfaces zur verfügung steht und so sich der Virus einfängt ?
Vieleicht hilft noch das smb.conf
# Samba config file created using SWAT
# from localhost (127.0.0.1)
# Date: 2001/11/12 22:41:20
# Global parameters
[global]
workgroup = PETER
encrypt passwords = Yes
map to guest = Bad User
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
character set = ISO8859-15
os level = 2
wins support = Yes
kernel oplocks = No
printing = lprng
[homes]
comment = Home Directories
read only = No
create mask = 0640
directory mask = 0750
browseable = No
[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No
[daten]
path = /daten
read only = No
guest ok = Yes
Ich habe zwei Netzwerkarten in meinem Linux,
eine fürs Cablemodem und eine fürs Interne Netz kann es sein das der Samba Share auf beiden Netzwerk Interfaces zur verfügung steht und so sich der Virus einfängt ?
Vieleicht hilft noch das smb.conf
# Samba config file created using SWAT
# from localhost (127.0.0.1)
# Date: 2001/11/12 22:41:20
# Global parameters
[global]
workgroup = PETER
encrypt passwords = Yes
map to guest = Bad User
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
character set = ISO8859-15
os level = 2
wins support = Yes
kernel oplocks = No
printing = lprng
[homes]
comment = Home Directories
read only = No
create mask = 0640
directory mask = 0750
browseable = No
[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No
[daten]
path = /daten
read only = No
guest ok = Yes
Re: VIRUS Nimda SUSE 7.3
@marc
nicht der apache öffnet shares ins netz, sondern das machst du (über samba).
natürlich reagiert samba auf <u>alle</u> anfragen, solange sie den samba rechner nur erreichen. in deiner /daten sektion gibst du gezielt den zugriff für gäste frei. also kann es durchaus sein, dass sich nimda, durch einen infizierten rechne (wie auch immer) dein share mounted und daten darauf ablegt (warum auch nicht, wenn schon vorhanden, dann sollte man sowas ja auch nutzen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">)
deswegen solltest du auch deine einstelklungen in der samba konfig überdeneken.
- zuerst einmal könntest du dein zugriff auf bestimmte ip´s beschränken.
- zweitens könntest du das logging aktivieren, um so zu sehen von welcher ip denn darauf zugegriffen wurde
dazu kommt, dass es sowieso nicht so toll ist einen sperrangelweit offenstehenden rechner ins netz zu stellen. ein bischen zeit sollte man sich schon nehmen, bevor man einen rechner mit allen (unnötigen?) diensten ins netz stellt.
du kannst deinen rechner z.b. auch auf der symantec seite prüfen lassen.
Gruß
Lutz
nicht der apache öffnet shares ins netz, sondern das machst du (über samba).
natürlich reagiert samba auf <u>alle</u> anfragen, solange sie den samba rechner nur erreichen. in deiner /daten sektion gibst du gezielt den zugriff für gäste frei. also kann es durchaus sein, dass sich nimda, durch einen infizierten rechne (wie auch immer) dein share mounted und daten darauf ablegt (warum auch nicht, wenn schon vorhanden, dann sollte man sowas ja auch nutzen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">)
deswegen solltest du auch deine einstelklungen in der samba konfig überdeneken.
- zuerst einmal könntest du dein zugriff auf bestimmte ip´s beschränken.
- zweitens könntest du das logging aktivieren, um so zu sehen von welcher ip denn darauf zugegriffen wurde
dazu kommt, dass es sowieso nicht so toll ist einen sperrangelweit offenstehenden rechner ins netz zu stellen. ein bischen zeit sollte man sich schon nehmen, bevor man einen rechner mit allen (unnötigen?) diensten ins netz stellt.
du kannst deinen rechner z.b. auch auf der symantec seite prüfen lassen.
Gruß
Lutz
Last edited by trinity on 14. Nov 2001 14:40, edited 1 time in total.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
-
Marc
Re: VIRUS Nimda SUSE 7.3
Ich habe gesehen das ich Samba an eine Bestimmte Netwerkarte binden kann. Wenn ich Samba an eth0 internes Netz einstelle sollte das Problem gelöst sein oder ???
Re: VIRUS Nimda SUSE 7.3
@Marc
sollte sich samba an ein device binden lassen: ja
sicherheitshalber würde ich trotzdem nur bestimmte ip´s (bzw. ip-adressräume) als zulässige adressen in der smb.conf eintragen.
zudem sollte man guest ok auf den default no setzen.
sollte sich samba an ein device binden lassen: ja
sicherheitshalber würde ich trotzdem nur bestimmte ip´s (bzw. ip-adressräume) als zulässige adressen in der smb.conf eintragen.
zudem sollte man guest ok auf den default no setzen.
Last edited by trinity on 14. Nov 2001 17:22, edited 1 time in total.
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)