Re: NIMDA

To: Debian French List <debian-french@lists.debian.org>
Subject: Re: NIMDA
From: Eric van der Vlist <vdv@dyomedea.com>
Date: Wed, 26 Sep 2001 08:42:18 +0200
Message-id: <[🔎] 3BB178CA.3080307@dyomedea.com>
References: <[🔎] B7D6B088.11639%sleclerc@actionweb.fr>

Bonjour,

Stephane Leclerc wrote:

A ce sujet, il n'y aurait pas moyen de limiter les dégats que fait ce virus
sur nos serveurs en "occuppant" le virus lorsqu'il fait une requete.
Exemple,
créér un /scripts/root.exe en php ou cgi ou autre qui ferait betement un
sleep et ferait perdre du temps au virus?



J'ai fait une erreur de copier/coller tout à l'heure. Pour IPTABLE voici la
routine qui tue :

# routine iptable pour filtrage http
iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK ACK --dport 80 -m string
--string 'root.exe' -j REJECT --reject-with tcp-reset

C'est surement très efficace, mais ça me semble un peu brutal de bloquerune IP. Celle-ci peut être celle d'un proxy ou une adresse dynamiqueet peut bloquer d'autres utilisateurs que l'utilisateur "virusé".

Pour limiter ce rique, il faudrait associer à chaque blocage un timeoutpour qu'il ne soit effectif que pendant un laps de temps (1/4 d'heurepar exemple).

Cela complique les scripts et peut demander d'avoir recours à un cron,mais ce doit rester possible ;=) ...


Mes 0,02 Euros.

Eric

Vous pouvez aussi en faire une autre pour codered avec default.ida (toujours
là celui-là).

Défaut, elle ferme salement le port.

L'avantage c'est que cette routine est "temps réel" par rapport au filtrage
de fichiers de logs Apache des autres routines.

Pour infos, dans mon serveur le plus scanné, j'ai trouvé 544 IP contaminé
pour la date du 25 septembre...

Stef...


..........................................................
.  Linux - Debian - php4 - Apache - MySQL - Infogerance  .
.   email: info@actionweb.fr - http://www.actionweb.fr   .
.     Tel: (0)141 906 100    -    Fax: (0)141 906 101    .
..........................................................




--
See you in Scottsdale, Arizona.
     http://xmlconnections.com/xml/xmlfall2001/speakers.asp#evandervlist
------------------------------------------------------------------------
Eric van der Vlist       http://xmlfr.org            http://dyomedea.com
http://xsltunit.org      http://4xt.org           http://examplotron.org
------------------------------------------------------------------------

Reply to:

Follow-Ups:
- Re: NIMDA
  - From: Stephane Leclerc <sleclerc@actionweb.fr>

References:
- Re: NIMDA
  - From: Stephane Leclerc <sleclerc@actionweb.fr>

Prev by Date: Re: remove dselect
Next by Date: Impossible d'écouter Franceinter
Previous by thread: Re: NIMDA
Next by thread: Re: NIMDA
Index(es):
- Date
- Thread