Mich wundert aber eins noch ?
Wie kommt der Wurm auf meine IP, weil wenn ich manche IPs der

Zufall, reiner Zufall. Das ist die Holzhammermethode: Irgendwo wird sich schon ein infizierbarer Server auftreiben lassen..

Gruß,
  soenk.e

Mich wundert aber eins noch ?
Wie kommt der Wurm auf meine IP, weil wenn ich manche IPs der Zugriffe im Browser eingebe, komme ich auf irgendwelche Internetseiten wie Zb CILO Bike Service huh ? oder auf so eine häßliche italienische Provider Seite ? Ich habe mit diese Seiten nie was zu tun gehabt.

Schön find ichs. Die Programmierer des Wurms sind klüger als alle zusammen.

W. Pichler

Hi,

Wie kommt der Wurm auf meine IP, weil wenn ich manche IPs der Zugriffe
im Browser eingebe, komme ich auf irgendwelche Internetseiten wie Zb
CILO Bike Service huh ? oder auf so eine häßliche italienische Provider
Seite ?

Nimm Dir mal so eine IP-Adresse und schau mit dem SelfHTML Server Watch
     http://aktuell.de.selfhtml.org/sonst/serverid.htm
nach, was für ein Webserver dort läuft.

Es würde mich sehr wundern, wenn ein Apache dabei wäre.

Ich habe mit diese Seiten nie was zu tun gehabt.

Das brauchst Du auch gar nicht. Deine IP-Adresse liegt nur zufällig in
dem Bereich, den dieser Virus abgescannt hat.

Viele Grüße
      Michael

Nicht unbedingt. Leider hat XnetworkerX die vielleicht problematischen IP-Adressen nicht mit gepostet. Es müssen nämlich nicht unbedingt IP's sein. In meinem System (WinXP) sieht es im Apache-log z.B. im Moment so aus:
c30s75h2.upc.chello.no - - [12/Jan/2002:18:17:27 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

Ich kann ja ein paar auflisten :
212.17.213.2
212.135.234.164
212.71.67.124
212.147.85.82
212.45.170.197
212.147.85.82
212.23.250.237
212.233.1.78
212.17.213.2
212.17.49.29
212.17.34.129
212.187.118.117
212.66.100.1

komisch das die alle mit 212 anfangen ? Das liegt sicher daran, daß ich auch 212 am Anfang habe

Hi Christoph.

Die kamen von außen, wie du an deinen IPs ja bemerkt hast, wahrscheinlich von irgendeiner infizierten Maschine.

Nicht unbedingt.

Aber fast.

Der Virus (oder jemand anders) versucht, über eine Lücke im Webserver einen Befehl auszuführen: In allen Anfragen taucht am Ende ein "/cmd.exe?/c+dir" auf.

Es war mit allergrößter Wahrscheinlichkeit "etwas anders"

War's nicht.

Lies das: http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

und dann das:
http://www.cert.org/advisories/CA-2001-26.html

und zu guter letzt noch das:
http://www.europe.f-secure.com/v-descs/bady.shtml

Dann können wir uns vielleicht noch haun ob's jetzt nun Nimda, Code Red oder beide waren (tippe auf letzteres).

Das Loch betrifft aber AFAIK nur den Internet Information Server von Microsoft, also nichtmal direkt dein Betriebssystem.

Das ist leider nicht ganz korrekt.

Das ist vollkommen korrekt.

Ciao,

Harry

Die kamen von außen, wie du an deinen IPs ja bemerkt hast, wahrscheinlich von irgendeiner infizierten Maschine.

Nicht unbedingt. Leider hat XnetworkerX die vielleicht problematischen IP-Adressen nicht mit gepostet. Es müssen nämlich nicht unbedingt IP's sein.

Wenn er IP-Adressen schreibt, wird er wohl IP-Adressen meinen.

In meinem System (WinXP) sieht es im Apache-log z.B. im Moment so aus:
c30s75h2.upc.chello.no - - [12/Jan/2002:18:17:27 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 300

Da ist keine IP drin, nur ein Domainname.

In diesem Fall hat ein cookie, das ich gut kenne, für diesen Eintrag gesorgt, erst vor wenigen Stunden.

Also mit Verlaub, das ist doch Unfug. Wenn du von -den- Cookies redest, nämlich denen im Browser, die können definitiv weder einen Eintrag im error.log noch im access.log erzeugen. Cookies sind völlig leblose Datenpakete, die als Ballast im Kopf eines HTTP-Requests wandern.
Die treten genauso wenig in Erscheinung wie die Kopfzeilen Last-Modified und Content-Type.

Was du da als Beispiel gelistet hast, ist nichts weiter, als das irgendein Programm auf einem norwegischen Rechner versucht hat, auf deinem System das Programm cmd.exe mit dem Parameter c+dir auszuführen.

Und das halte ich für sehr bedenklich. Du solltest dir IMHO wirklich ein paar Gedanken machen über das, was da passiert.

Der Virus (oder jemand anders) versucht, über eine Lücke im Webserver einen Befehl auszuführen: In allen Anfragen taucht am Ende ein "/cmd.exe?/c+dir" auf.

Es war mit allergrößter Wahrscheinlichkeit "etwas anders"

Wer, außer einem Hacker, sollte denn Interesse daran haben, auf einem völlig fremden System den Befehl dir auszuführen?

Gruß,
  soenk.e

Hi Christoph,

In diesem Fall hat ein cookie, das ich gut kenne, für diesen Eintrag
gesorgt, erst vor wenigen Stunden.

ich bin schwer enttäuscht, daß ausgerechnet Du solchen haarstäubenden
Unfug verbreitest.

Der Virus (oder jemand anders) versucht, über eine Lücke im
Webserver einen Befehl auszuführen: In allen Anfragen taucht
am Ende ein "/cmd.exe?/c+dir" auf.
Es war mit allergrößter Wahrscheinlichkeit "etwas anders"

Es war mit absoluter Sicherheit _nichts_ anderes.

Das Loch betrifft aber AFAIK nur den Internet Information Server
von Microsoft, also nichtmal direkt dein Betriebssystem.
Das ist leider nicht ganz korrekt.

Doch, das ist korrekt, wie Du der Struktur der angeforderten URLs
ansehen kannst - wenn Du verstehst, was der Angreifer versucht hat.

Da die Zugriffe als Fehler aufgelistet wurden, wurden sie natürlich
auch nicht bei die ausgeführt und damit hast du dir auch nichts
eingefangen.
Und _DAS_ ist der entscheidende Satz  ;-)

Dies ist der einzige Satz Deiner Postings, dem ich so halbwegs zustimme.

Der HTTP-Status 404 zeigt, daß der Webserver den Zugriff nicht erfolgreich
ausgeführt, sondern mangels Existenz des angeforderten Objekts nureine
Fehlermeldung an den Angreifer geliefert hat.
Stünde in dieser Spalte "200", dann hätte er etwas gefunden.

Selbst das würde übrigens noch lange nicht bedeuten, daß der Server
erfolgreich infiziert wurde - dazu siehe ein anderes Posting in diesem
Thread.

Viele Grüße
      Michael

Hi Calocybe,

Warum die cmd.exe ausfuehren wollen, wird mir auch nicht klar,
allerdings ist das bei MS immer so ne Sache, da muss man nicht
alles verstehen... ;-)

Ich glaube, ich kann an dieser Stelle ein paar Informationen liefern.
Nach dem Nimda-Fall haben wir uns mal Zeile für Zeile dieses Logfiles
angesehen, was das Ding genau treibt.

Wie funktioniert denn so ein Virus, der einen Webserver angreifen will?
Zuallererst mal muß er auf dem Server irgendwas ausführen dürfen.
Und zwar etwas, das sich bereits auf diesem Server befindet - nicht etwas,
das er schickt.
Denn ausführbaren Code zu schicken, das erlaubt nicht mal ein M$-IIS.

Was auf dem Server bereits vorhanden ist, das ist beispielsweise cmd.exe;
der Angreifer hat erraten, daß wir irgend ein Windows vor uns haben.
(Oder er hat einen HTTP-HEAD-request gesendet und der Server hat ihm
brav geantwortet: "Hallo, ich bin ein Microsoft-Server" - zu diesem
Punkt siehe http://aktuell.de.selfhtml.org/sonst/serverid.htm.)

Wenn es der Angreifer schafft, dieses Programm auszuführen und noch
weitere Software findet, die er nutzen kann, dann kann er versuchen,
mit Hilfe dieser Software eigenen Code auf den Server zu transportieren

• nämlich seinen Virus-Code.
  Das ist ja letztlich der eigentliche Sinn der Sache. Dieser Virus-Code
  wird dann selbst auch wieder im Netz nach weiteren ungeschützten Servern
  suchen (eine IP-Adresse nach der anderen - man weiß ja, wie Netzsegmente
  aufgeteilt und adressiert werden) und dasselbe Spielchen wiederholen.
  Wenn man mehrere Server im selben Netz stehen hat und die Uhrzeiten der
  Angriffe entsprechend vergleicht, dann wird einem ziemlich schnell klar,
  wie so ein Virus 'sucht': Genau so, wie man das naheliegenderweise auch
  manuell tun würde. Überhaupt ist die Struktur eines solchen Virus rein
  algorithmisch betrachtet ziemlich simpel - je einfacher, desto so weniger
  braucht er, um auf einer beliebigen fremden Maschine arbeiten zu können.

Eines dieser Programme, um den Virus-Code zu holen, wäre beispielsweise
ein FTP-Client; ersatzweise tut es auch ein kommandozeilenprogrammierbarer
Browser. Was auch immer dort herum liegt, es müßte dem Angreifer erlauben,
vom angegriffenen Server aus einen Request zurück zum Angreifer durchzu-
führen. Das Protokoll kann sich der Angreifer nicht aussuchen - er muß
nehmen, was er findet, also im WWW die entsprechenden Dateien über ver-
schiedene Protokollen bereit stellen.
Hat der Angreifer Glück, dann ist der Server nicht so gut geschützt (etwa
durch eine Firewall), daß dieser Zugriff verhindert wird; mit noch etwas
mehr Glück hat der Webserver sogar das Privileg, auf dem Server-Rechner
Dateien anzulegen. Mit irrsinnig viel Glück sogar Dateien an einer Stelle,
wo sie beim nächsten Start des Servers automatisch ausgeführt werden.
Aber Glück ist bei hinreichend vielen Microsoft-Servern im WWW eine reine
Frage der Wahrscheinlichkeit - irgendwann findet man eine Maschine, die
hinreichend weit offen steht.

Allerdings kann man nicht einfach cmd.exe über einen Webserver ausführen.
Man _könnte_ das vielleicht tun, wenn der Webmaster dumm genug war, cmd.exe
innerhalb seines URL-Baums abzulegen. Allerdings: So ungeheuer dumm ist
selbst ein DAW nicht.
Wie geht es also? Der Angreifer verläßt sich darauf, daß eh kein M$-IIS-
Betreiber seine Maschine versteht und deshalb die Standardwerte verwendet.
Tut der das, dann ist cmd.exe eine Datei auf demselben Laufwerk wie der
IIS; mit etwas Glück ist es zu schaffen, cmd.exe relativ zur Server-Root
durch einen relativen Pfad zu beschreiben. Mit etwas weniger Glück liegen
beide Programme auf unterschiedlichen Laufwerken; wie Du im geposteten
access_log sehen kannst, probiert Nimda einige Laufwerke durch - man weiß
ja, wie ein Laufwerk in Windows ungefähr heißen kann.

Wir sind immer noch darauf angewiesen, daß die Datei im URI-Baum liegt.
Das tut sie bestimmt nicht. Wenn wir aber mal einen Moment lang nicht im
URI-Universum denken, sondern im Pfad-Universum, dann ist der Pfad zu
cmd.exe definitiv über eine Reihe von ".."-Positionierungen darstellbar.
Dabei wird zwar mit ziemlicher Sicherheit das URI-Universum verlassen -
allerdings muß das der Webserver auch merken.
Der Webserver ist aber ein M$-IIS, und der hat seine Bugs. Diese Bugs
sind in den entsprechenden Kreisen bekannt.
Einer dieser Bugs ist es, daß bestimmte Versionen des M$-IIS die Adres-
sierung über ".." außerhalb des URI-Universums zwar dann begreifen, wenn
der gesamte Pfad mit normalen Zeichen dargestellt wird, nicht aber, wenn
Teile des Pfades URL-encoded sind.
Schaut Euch die URIs im Logfile an, das gepostet wurde! Genau das macht
der Angreifer: Er verläßt sich auf einen M$-IIS ohne entsprechenden bug
fix und sucht mit relativen Pfaden unter Verwendung von URL encoding nach
einem cmd.exe, um darüber einen FTP-Client auszuführen, welcher dann den
Virus-Code auf dem angegriffenen Server installiert.

All dies reicht aber immer noch nicht, um das System zu befallen.
cmd.exe muß ja nicht nur gefunden werden, sondern es muß ausführbar sein!
Also muß entweder die Endung .exe im Webserver als 'ausführbar' konfigu-
riert sein - das wäre so ziemlich das Dümmste, was ein Webmaster tun
könnte, nicht mal die Default-Konfiguration des M$-IIS sind so sperrangel-
weit offen - oder der relative Pfad muß über ein CGI-BIN-Verzeichnis
laufen und der Webserver glauben, daß dieser Teilbaum nicht verlassen wird.

Der Angreifer braucht also schon wieder eine Information über den angegrif-
fenen Server, nämlich den Namen eines existierenden CGI-BIN-Verzeichnisses.
Erfreulicherweise (für ihn) gibt es beim M$-IIS entsprechende Konventionen,
wie solche Verzeichnisse üblicherweise heißen - teilweise hängt das sicher
auch davon ab, welche zusätzliche Software installiert ist.
Der Angreifer weiß allerdings bereits, welcher M$-IIS auf dem Server laufen
muß, damit er überhaupt angreifen kann - der muß ja den ".."-Prüfungs-Bug
haben. Also schaut er in das M$-IIS-Handbuch dieser Version bzw. in Hand-
bücher von Produkten, die zusammen mit dieser Version üblicherweise instal-
liert werden - und findet die entsprechenden Pfade.

"Das ist ja einfach", würde Boris dazu sagen. Wie schön, daß sich im M$-
Universum alle an die Standardwerte halten, "denn sie wissen nicht, was
sie tun".

Natürlich habe ich dies alles nicht geschrieben, um wirklich eine Bau-
Anleitung für einen Virus zu liefern. 'Richtige' Virenprogrammierer be-
schäftigen sich mit diesem Thema seit Jahren, ich habe gerade mal einen
Tag investiert, um die Traces in unserem Netz zu lesen und zu verstehen.

Es reicht aber, um zu erkennen, was _dieser_ Virus alles braucht, um über-
haupt Schaden anrichten zu können.

1. cmd.exe muß auf der Maschine vorhanden sein.
   (Braucht das jemand auf einem reinen Webserver? Umbenennen / Löschen)

2. Ein kommandozeilenorientierter Kommunikations-Client muß vorhanden
   sein. (Siehe 1. - ein reiner Server braucht so etwas selten.)

3. Das Windows-Verzeichnis muß an der üblichen Stelle installiert sein.
   (Das kann man bei der Installation so ändern, daß der Angreifer es
    kaum erraten wird.)

4. Der M$-IIS muß in der fehlerhaften Version ohne bug fix installiert
   sein. (Es _gibt_ bug fixes, und man sollte sie auch installieren, wenn
   man einen M$-IIS betreibt.)

5. Die Konfiguration des M$-IIS muß im CGI-Teil einen der üblichen
   Standard-Pfade enthalten. Das braucht man nur, wenn man eines dieser
   Produkte einsetzt - vielleicht braucht man es nicht mal dann. Also:
   Handbuch lesen und alles an CGI abschalten, was man nicht braucht.

6. Der Server muß in der Lage sein, einen Request zurück ins WWW stellen
   zu dürfen. Dagegen gibt es auf Netzwerkebene diverse Verteidigungen;
   beispielsweise kann man eine Firewall entsprechend konfigurieren, um
   requests in die Gegenrichtung zu verhindern, man kann mit network
   address translation die eigenen Adressen so übersetzen, daß der
   Server in seiner Funktion als Client keinen Rückweg findet, man kann
   von dieser Maschine aus Zugriffe nur über einen Proxy-Server erlauben
   und den nicht per Default in der lokalen Software eintragen oder vieles
   mehr.

Um es ganz deutlich zu machen: Wenn Nimda einen Server erfolgreich
befallen hat, dann bedeutet das, daß der Betreiber dieses Servers in
_ALLEN_ aufgezählten Punkten versagt hat. Nicht etwa nur in _einem_ davon.

Aufklärung ist nun mal die beste Methode, um mit Viren umgehen zu lernen

• wenn man weiß, wo man aufpassen muß, hat Panik keine Chance.

Viele Grüße
      Michael

P.S.: Doch, man _kann_ einen M$-IIS betreiben - wenn man weiß, was man
      tut. Aber beim Apache geht es mit signifikant weniger Aufwand.