Iniciar sesiónCerrar
Correo:
Contraseña:
Entrar
Recordar sesión en este navegador
Iniciar sesiónIniciar sesiónCrear cuentaCrear cuenta
LWP » PDFs de programación » Eliminar el virus nimbda del servidor apache

PDF de programación - Eliminar el virus nimbda del servidor apache

Volver
<<>>
Imágen de pdf Eliminar el virus nimbda del servidor apache

Eliminar el virus nimbda del servidor apachegráfica de visualizaciones

Actualizado el 17 de Abril del 2021 (Publicado el 25 de Agosto del 2018)
815 visualizaciones desde el 25 de Agosto del 2018
50,7 KB
4 paginas
Creado hace 19a (03/05/2004)
Eliminar el virus nimbda del servidor apache

Eliminar el virus nimbda del servidor apache

Por Paco Aldarias Raya

Impreso: 3 de mayo de 2004

Email: pacolinux arroba inicia punto es
Web: http://pagina.de/pacodebian

Con Linux Debian. En Valencia (España)

Este documento es de libre reproducción siempre que se cite su fuente.

Realizado con: LATEX

Índice

Índice

1. Introducción

2. Como se propaga

3. Como solucionarlo

4. Como se filtran las ips

5. Como hacer q el cortafuegos cierre el paso a esas maquinas

6. Text del virus nimba

1.

Introducción

1

1

1

2

2

3

4

El virus nimba intenta propagarse por la red. Infecta los servidores web

de mocosoft, el llamado Internet Information Server (IIS)

Por Paco Aldarias

1/4

Eliminar el virus nimbda del servidor apache

2. Como se propaga

Veamos un trozo del log de apache: /var/log/http/access

217-127-85-207.uc.nombres.ttd.es - - [02/Jun/2002:06:28:15 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 6

217-127-85-207.uc.nombres.ttd.es - - [02/Jun/2002:06:28:19 +0200] \
"GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 6

217-127-250-172.uc.nombres.ttd.es - - [02/Jun/2002:17:51:59 +0200] \
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 6

217-127-250-172.uc.nombres.ttd.es - - [02/Jun/2002:17:52:09 +0200] \
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 6

217-127-250-172.uc.nombres.ttd.es - - [02/Jun/2002:17:52:19 +0200] \
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 6

217-127-250-172.uc.nombres.ttd.es - - [02/Jun/2002:17:52:29 +0200] \
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 6

217-127-250-172.uc.nombres.ttd.es - - [02/Jun/2002:17:52:37 +0200] \
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 6

217-127-250-172.uc.nombres.ttd.es - - [02/Jun/2002:17:52:45 +0200] \
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 6

217-127-250-172.uc.nombres.ttd.es - - [02/Jun/2002:17:52:54 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 6

217-127-250-172.uc.nombres.ttd.es - - [02/Jun/2002:17:53:02 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir\

HTTP/1.0" 404 6

217-127-250-172.uc.nombres.ttd.es - - [02/Jun/2002:17:53:11 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 6

3. Como solucionarlo

Revisando este fichero y filtrando estas maquinas con el cortafuegos.

Por Paco Aldarias

2/4

Eliminar el virus nimbda del servidor apache

4. Como se filtran las ips

Haciendo este script q lo q hace es revisar el log de apache /var/log/httpd/ac-

cess log buscando las cadenas q lo identifican y generar un fichero llamado
/etc/nat/intrusos.txt

++++++Inicio script +++++++++++++++++++++++++++++++++
echo [*] Elimnado Nimbda
echo [+] Por Paco Aldarias
echo [+] Realizado el 8.6.02
echo [+] /etc/nat/nimba.txt

fl=/var/log/httpd/access_log
fi=/etc/nat/intrusos.txt

for i in ‘grep msadc $fl | cut -f1 -d’ ’ | sort | uniq | xargs echo‘; do

echo $i >> $fi
echo [+] Pasado $i a $fi

done

for i in ‘grep default.ida $fl | cut -f1 -d’ ’ | sort | uniq | xargs echo‘; do

echo $i >> etc/nat/intrusos.txt
echo [+] Pasado $i a $fi

done

ft=/etc/nat/temp.txt
echo [*] Quitando repetidos de $fl
for i in ‘cat $fi | sort | uniq | cut -f12 -d ’,’ | xargs echo‘; do

echo $i >> $ft
echo [+] Pasando $i a $ft

done
cp $ft $fi
cat $fi
rm $ft
++++++++++++++++++++ fin script +++++++++++++++++++

Por Paco Aldarias

3/4

Eliminar el virus nimbda del servidor apache

5. Como hacer q el cortafuegos cierre el paso

a esas maquinas

Añadiendo al cortafuegos este script:

++++++++++++++++++++++ inicio parte del script /etc/rc.d/nit.d/nat *****************
fich=/etc/nat/intrusos.txt
cf=/sbin/iptables
idsl=eth0
echo [*] Bloqueando maquina no confiables fichero $fich

for linea in $(cat $fich); do

echo [-] $cf -A INPUT -i $iadsl -s $linea -j DROP;
$cf -A INPUT -i $iadsl -s $linea -j DROP;

done
++++++++++++++++++++++++ fin script ++++++++++++++++++++++++++++++++++++++++++

6. Text del virus nimba

http://www.securityspace.com/smysecure/w32_nmda_amm.html
Nota: Se pueden añadir al ficheros intrusos txt, las ips molestas, q las

bloqueara tambien.

Por Paco Aldarias

4/4
  • Links de descarga
http://lwp-l.com/pdf13215

Comentarios de: Eliminar el virus nimbda del servidor apache (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad
Acepto las políticas de privacidad