nimda unter /public_html?
Hallo, bei einem Routinetest fand mein AntiVir einige nicht von mir dort eingestellte Dateien mit Nimda-Wurm-Signatur unterhalb von /home/.../public_html mit der Dateiendung .eml (davor was vom Iglesias bzw. download18stellige Ziffer). Ich kanns mir nun nicht erklären, wie die Files dorthin kommen, kanns auch nicht anhand der Logfiles nachvollziehen (sucht sich nimda nicht ein win oder win\sys Verzeichnis mit einer exe zum Kuscheln?). < stark beunruhigt > Der PC steht bei mir als Workstation zu Hause und ist nicht permanent mit dem Netz verbunden (ISDN, DoD). Bitte um einige Infos wo ich da wie etwas übersehen habe oder noch drehen kann. ??? Danke schon mal. Herbert
Herbert Schrader wrote:
Hallo, bei einem Routinetest fand mein AntiVir einige nicht von mir dort eingestellte Dateien mit Nimda-Wurm-Signatur unterhalb von /home/.../public_html mit der Dateiendung .eml (davor was vom Iglesias bzw. download18stellige Ziffer). Ich kanns mir nun nicht erklären, wie die Files dorthin kommen, kanns auch nicht anhand der Logfiles nachvollziehen (sucht sich nimda nicht ein win oder win\sys Verzeichnis mit einer exe zum Kuscheln?). < stark beunruhigt > Der PC steht bei mir als Workstation zu Hause und ist nicht permanent mit dem Netz verbunden (ISDN, DoD). Bitte um einige Infos wo ich da wie etwas übersehen habe oder noch drehen kann. ??? Danke schon mal. Herbert
Ist Nimda nicht nur anfällig auf M$ Servern? Stefan
Am Samstag, 20. Juli 2002 18:16 schrieb Stefan Eggert:
Herbert Schrader wrote:
bei einem Routinetest fand mein AntiVir einige nicht von mir dort eingestellte Dateien mit Nimda-Wurm-Signatur unterhalb von /home/.../public_html mit der Dateiendung .eml (davor was vom Iglesias bzw. download18stellige Ziffer). Ich kanns mir nun nicht erklären, wie die Files dorthin kommen, kanns auch nicht anhand der Logfiles nachvollziehen (sucht sich nimda nicht ein win oder win\sys Verzeichnis mit einer exe zum Kuscheln?).
Ist Nimda nicht nur anfällig auf M$ Servern?
Ja. nimda betrifft Apache-Server nicht, also kein Grund zur beunruhigung. Das einzige was man als Apache-Server Betreiber von nimda mitbekommt sind ein paar Fehlermeldungen über fehlgeschlagene Aktionen in den Logfiles. Wie die Dateien in ~/public_html kommen kann ich auch nicht sagen. Entweder ist das ganze ein Fehlalarm oder irgendwer hat dort eine Datei abgelegt, die Inhalte hat, auf die AntiVir reagiert. Ich würde die fraglichen Dateien löschen und mich nicht mehr weiter darum kümmern. Grüsse, Nicolas
Am Sonntag, 21. Juli 2002 16:04 schrieb Nicolas Rüegg:
Am Samstag, 20. Juli 2002 18:16 schrieb Stefan Eggert:
Herbert Schrader wrote:
bei einem Routinetest fand mein AntiVir einige nicht von mir dort eingestellte Dateien mit Nimda-Wurm-Signatur unterhalb von /home/.../public_html mit der Dateiendung .eml (davor was vom Iglesias bzw. download18stellige Ziffer). Ich kanns mir nun nicht erklären, wie die Files dorthin kommen, kanns auch nicht anhand der Logfiles nachvollziehen (sucht sich nimda nicht ein win oder win\sys Verzeichnis mit einer exe zum Kuscheln?).
Ist Nimda nicht nur anfällig auf M$ Servern?
Ja. nimda betrifft Apache-Server nicht, also kein Grund zur beunruhigung. Das einzige was man als Apache-Server Betreiber von nimda mitbekommt sind ein paar Fehlermeldungen über fehlgeschlagene Aktionen in den Logfiles. Wie die Dateien in ~/public_html kommen kann ich auch nicht sagen. Entweder ist das ganze ein Fehlalarm oder irgendwer hat dort eine Datei abgelegt, die Inhalte hat, auf die AntiVir reagiert. Ich würde die fraglichen Dateien löschen und mich nicht mehr weiter darum kümmern.
Die Dateien sind kein Fehlalarm, die sind definitiv da (gewesen) und nicht von mir. Hab das Zeug jetzt erst mal von der Platte geputzt, nachdem mich auch die Logfiles (messages, httpd/access + error) nicht weitergebracht haben. Werde die Sache auf alle Fälle aufmerksam weiterverfolgen u. ggf. nochmal das Orakel@suse.com ;-)) befragen. Gruss Herbert
Am Samstag, 20. Juli 2002 15:34 schrieb Herbert Schrader: [...]
bei einem Routinetest fand mein AntiVir einige nicht von mir dort eingestellte Dateien mit Nimda-Wurm-Signatur unterhalb von /home/.../public_html mit der Dateiendung .eml (davor was vom Iglesias bzw. download18stellige Ziffer). [...] Ist das /home Verzeichnis über 'samba' freigegeben und wenn ja greift ein Win2k oder WinNT mit laufendem IIS darauf zu? mfg, -- Andreas Scherer, LinguaSoftworks andreas.scherer@lingua.at http://www.lingua.at Registered Linux User: #157823 - http://counter.li.org/
Am Montag, 22. Juli 2002 01:39 schrieb Andreas Scherer:
Am Samstag, 20. Juli 2002 15:34 schrieb Herbert Schrader:
[...]
bei einem Routinetest fand mein AntiVir einige nicht von mir dort eingestellte Dateien mit Nimda-Wurm-Signatur unterhalb von /home/.../public_html mit der Dateiendung .eml (davor was vom Iglesias bzw. download18stellige Ziffer).
[...] Ist das /home Verzeichnis über 'samba' freigegeben und wenn ja greift ein Win2k oder WinNT mit laufendem IIS darauf zu?
ja. ist freigegeben, allerdings kann ich vom win-xp nicht schreibend darauf zugreifen, nur lesend (obwohl es auch als schreibend freigegebend ist - habe ich aber noch nicht weiter dran rumexperimentiert). IIS ? Hat XP sowas eingebaut? Den ganzen Serverquatsch hatte ich (glaube ich zumindest) gar nicht installiert - muss ich nachher nachschauen. Danke für den Tipp. Schönen Start in die Woche, Herbert
participants (4)
-
Andreas Scherer
-
Herbert Schrader
-
Nicolas Rüegg
-
Stefan Eggert