Am Sonntag, 21. Juli 2002 16:04 schrieb Nicolas Rüegg:
Am Samstag, 20. Juli 2002 18:16 schrieb Stefan Eggert:
Herbert Schrader wrote:
bei einem Routinetest fand mein AntiVir einige nicht von mir dort eingestellte Dateien mit Nimda-Wurm-Signatur unterhalb von /home/.../public_html mit der Dateiendung .eml (davor was vom Iglesias bzw. download18stellige Ziffer). Ich kanns mir nun nicht erklären, wie die Files dorthin kommen, kanns auch nicht anhand der Logfiles nachvollziehen (sucht sich nimda nicht ein win oder win\sys Verzeichnis mit einer exe zum Kuscheln?).
Ist Nimda nicht nur anfällig auf M$ Servern?
Ja. nimda betrifft Apache-Server nicht, also kein Grund zur beunruhigung. Das einzige was man als Apache-Server Betreiber von nimda mitbekommt sind ein paar Fehlermeldungen über fehlgeschlagene Aktionen in den Logfiles. Wie die Dateien in ~/public_html kommen kann ich auch nicht sagen. Entweder ist das ganze ein Fehlalarm oder irgendwer hat dort eine Datei abgelegt, die Inhalte hat, auf die AntiVir reagiert. Ich würde die fraglichen Dateien löschen und mich nicht mehr weiter darum kümmern.
Die Dateien sind kein Fehlalarm, die sind definitiv da (gewesen) und nicht von mir. Hab das Zeug jetzt erst mal von der Platte geputzt, nachdem mich auch die Logfiles (messages, httpd/access + error) nicht weitergebracht haben. Werde die Sache auf alle Fälle aufmerksam weiterverfolgen u. ggf. nochmal das Orakel@suse.com ;-)) befragen. Gruss Herbert