E' da ieri pomeriggio che siamo bersagliati da questa nuova stringa:
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
oppure
/msadc/..%5c../..%5c../..%5c/..Á ../..Á ../..Á ../winnt/system32/cmd.exe /c+dir 404 -
o altra roba simile...
Avete info?
Grazie!!!
Flp
Mihi est Summa Dignitas
Forsan et haec olim meminisse iuvabit...
Preciso ovviamente che si tratta di windows2k con iis5.
Grazie
Ciao
Flp
Mihi est Summa Dignitas
Forsan et haec olim meminisse iuvabit...
stan cercando di entrare nel tuo sitema server etreranno come root e aministratori!! quindi il path c:\ gli darà l'elenco delle cartelle e file del HD come esplora risore e li possono fare di tutto!! copiare cancellare ecc. Questo è un bug su IIS4e5 ti conviene scollegare il server e aggiornare con le patch disponibili sul sito della microsoft. Se ti interessa approfondire ildiscorso fati prestare da qualcuno la rivista Io programmo del mese scorso mi sembra li ce un articolo proprio su tale Bug
Purtroppo ciò che mi hai detto non mi è nuovo ma io le patch le ho già installate tutte, solo che questo è un attacco nuovo di questa notte, si chiama NIMDA, è pericolosissimo e al momento non c'è antidoto
http://www.punto-informatico.it
grazie e ciao
Flp
Mihi est Summa Dignitas
Forsan et haec olim meminisse iuvabit...
Gli attacchi di questo genere possono servire al massimo a esplorare alcune cartelle o leggere files, ma non consentono l'accesso come Amministratore: è quindi consigliabile installare un firewall per evitare che vengano uploadati files dannosi, e aspettare l'eventuale patch.
mi sembrava che fosse quella che ho letto su Io Programmo ma forse mi sbaglio so che quella cmq era pericolosina e la Microsoft si è accorta solo dopooalcuni mesi dala scoperta di altri!! che pena
NIMDA... la soluzione
http://cuggis.interfree.it/nimda/index.htm
Ciauz
Basta installare il Service Pack 2 per Windows2000.
PS. non è un virus
Ciao a tutti,
la prma stringa non è altro che il tentativo di qualcuno di entrare nel server sfruttando l'ormai noto bug conosciuto come : MS IIS/PWS Escaped Characters Decoding Command Execution Vulnerability
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
la seconda stringa è un tentativo combinato di sfruttare il bug sopracitato e un altro bug ancora + vecchio , ovvero l' Unicode bug.
/msadc/..%5c../..%5c../..%5c/..Á ../..Á ../..Á ../winnt/system32/cmd.exe /c+dir 404 -
Cmq, non per contraddire ZofM questi tipi di attacchi li porta a segno anche il nimda, qui riporto rurri i tentativi che questo virus/worm tenta contro i web server della microsoft (iis)
'/scripts/..%255c..'
'/_vti_bin/..%255c../..%255c../..%255c..'
'/_mem_bin/..%255c../..%255c../..%255c..'
'/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%'
'/scripts/..%c1%1c..'
'/scripts/..%c0%2f..'
'/scripts/..%c0%af..'
'/scripts/..%c1%9c..'
'/scripts/..%%35%63..'
'/scripts/..%%35c..'
'/scripts/..%25%35%63..'
'/scripts/..%252f..'
Da quello che risulta dai tui log file cmq, gli attacchi sono stati respinti (404) quindi tutto ok.
per Nimda vi posso mandare un fix che lo elimina (120 KB).... scrivetemi un e-mail o postate quà la vostra mail
Permessi di invio
Rispondi quotando
