Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
VIRUS Nimda SUSE 7.3

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Marc
Gast





BeitragVerfasst am: 13. Nov 2001 18:16   Titel: VIRUS Nimda SUSE 7.3

Hilfeeee nicht schon wieder !!!!!!!!!

Ich habe Suse 7.3 NAT 2.4, Samba 2.2.1, Apache ganz normal installiert doch plötlich sehe ich das sich der NIMDA Virus auf den Samba Share eingenistet hat.
Von den Windosen kann er nicht kommen den dort habe ich überall ein Aktuelller Virenscanner NAV2002.
Wie schleicht sich der Scheisssss Virus in mein Linux ?????
Durch den SAMBA Share übers INET ?
Oder Apache ?

Bitte helft mier !!!!!!
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 14. Nov 2001 8:56   Titel: Re: VIRUS Nimda SUSE 7.3

schau bitte mal in den apache logs nach. kannst es hier ja mal abdrucken. es kann aber nicht sein, dass nimda deinen linuxrechner infiziert.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 14. Nov 2001 10:39   Titel: Re: VIRUS Nimda SUSE 7.3

Nimda ist ein Win32 executable virus und kann dem entsprechend unmöglich ein Linux-System befallen. Der Virus muß also zwangsfäufig von einem Windows-Rechner kommen. Das bestätigt mich in meiner Meinung, daß Norton Antivirus Mist ist.
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Marc
Gast





BeitragVerfasst am: 14. Nov 2001 11:47   Titel: Re: VIRUS Nimda SUSE 7.3

Nein nicht das Linux System ist befallen sondern nur der Samba Share in dem Win Programme abgelegt sind.
Irgendwie muss der (Apache) Samba Share ins Inet offen sein das Nimda die abgelegten Win Daten befällt.
 

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 14. Nov 2001 11:54   Titel: Re: VIRUS Nimda SUSE 7.3

Bist Du Dir sicher, daß sich die infizierten Daten nicht zufälling im Proxy-Cache befinden?
Und wie sieht denn dieser Virus aus? Hinzu kommt, daß es natürlich nicht auf die Softwareversion bei Antivirensoftware ankommt, sondern auf die Aktualität der AntiViredefinitionsdateien. Die Software kann durchaus 2-3 Jahre alt sein (NAV5 und NAV2000) erkennen ihn also z. B. auch, aber nur, wenn mit den aktuellsten AV Definitionen gearbeitet wird.
Selbstredend ist es ärgerlich, wenn irgendwo im Netz ein Virus ist, aber da Du ja nun weißt wo er ist, kannst Du ihn ja auch bekämpfen.

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Marc
Gast





BeitragVerfasst am: 14. Nov 2001 12:21   Titel: Re: VIRUS Nimda SUSE 7.3

Hy, Ja ich habe die neusten Virus Def. (Live Update). Der Virus ist nicht im Proxy Cache ich habe ein vollständiger Scann aller Windows Maschienen durchgeführt.
Ich habe zwei Netzwerkarten in meinem Linux,
eine fürs Cablemodem und eine fürs Interne Netz kann es sein das der Samba Share auf beiden Netzwerk Interfaces zur verfügung steht und so sich der Virus einfängt ?

Vieleicht hilft noch das smb.conf

# Samba config file created using SWAT
# from localhost (127.0.0.1)
# Date: 2001/11/12 22:41:20

# Global parameters
[global]
workgroup = PETER
encrypt passwords = Yes
map to guest = Bad User
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
character set = ISO8859-15
os level = 2
wins support = Yes
kernel oplocks = No
printing = lprng

[homes]
comment = Home Directories
read only = No
create mask = 0640
directory mask = 0750
browseable = No

[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No

[daten]
path = /daten
read only = No
guest ok = Yes
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 14. Nov 2001 14:40   Titel: Re: VIRUS Nimda SUSE 7.3

@marc
nicht der apache öffnet shares ins netz, sondern das machst du (über samba).
natürlich reagiert samba auf alle anfragen, solange sie den samba rechner nur erreichen. in deiner /daten sektion gibst du gezielt den zugriff für gäste frei. also kann es durchaus sein, dass sich nimda, durch einen infizierten rechne (wie auch immer) dein share mounted und daten darauf ablegt (warum auch nicht, wenn schon vorhanden, dann sollte man sowas ja auch nutzen )
deswegen solltest du auch deine einstelklungen in der samba konfig überdeneken.
- zuerst einmal könntest du dein zugriff auf bestimmte ip´s beschränken.
- zweitens könntest du das logging aktivieren, um so zu sehen von welcher ip denn darauf zugegriffen wurde

dazu kommt, dass es sowieso nicht so toll ist einen sperrangelweit offenstehenden rechner ins netz zu stellen. ein bischen zeit sollte man sich schon nehmen, bevor man einen rechner mit allen (unnötigen?) diensten ins netz stellt.
du kannst deinen rechner z.b. auch auf der symantec seite prüfen lassen.

Gruß
Lutz
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)


Zuletzt bearbeitet von trinity am 14. Nov 2001 14:40, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden

Marc
Gast





BeitragVerfasst am: 14. Nov 2001 17:17   Titel: Re: VIRUS Nimda SUSE 7.3

Ich habe gesehen das ich Samba an eine Bestimmte Netwerkarte binden kann. Wenn ich Samba an eth0 internes Netz einstelle sollte das Problem gelöst sein oder ???
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 14. Nov 2001 17:22   Titel: Re: VIRUS Nimda SUSE 7.3

@Marc
sollte sich samba an ein device binden lassen: ja
sicherheitshalber würde ich trotzdem nur bestimmte ip´s (bzw. ip-adressräume) als zulässige adressen in der smb.conf eintragen.
zudem sollte man guest ok auf den default no setzen.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)


Zuletzt bearbeitet von trinity am 14. Nov 2001 17:22, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy