[PUG] Server vom Ramen-Wurm befallen. Was nun?
Moin! Ich will mal ohne Umschweife zur Sache kommen. Der Server (Redhat 7.0) eines Freunds von mir ist so richtig Anfänger-Dödelmäßig vom "Ramen-Wurm" befallen worden. Der Provider hat ihn vom Netz getrennt, d.h., besagter Freund kann sich im Moment nicht am System anmelden und muß erstmal versuchen, per Telefondiagnose mit dem Provider für Ordnung zu sorgen. Gibt es eine Möglichkeit, das aufzuräumen? Irgendwo muß ja dieser Propagierungsprozeß gestartet werden, und das "Rootkit", das lt. Advisory installiert wird, muß ja auch aus irgendwelchen Dingen bestehen, die bekannt sind. Die Advisories zu den lpd- und Portmap-Exploits, über die der Wurm läuft, sind _nicht_, was wir suchen. Es geht in erster Linie darum, was das Ding tatsächlich am System verändert. Auf Bugtraq lief nichts wirklich ergiebiges darüber. Hat jemand einen URL in Reichweite? Danke im voraus, -martin --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Server vom Ramen-Wurm befallen. Was nun?
On Wed, Jan 24, 2001 at 10:58:56AM +0100, Schmitt, Martin wrote: > Moin! > > Ich will mal ohne Umschweife zur Sache kommen. Der Server (Redhat 7.0) eines > Freunds von mir ist so richtig Anfänger-Dödelmäßig vom "Ramen-Wurm" befallen > worden. Der Provider hat ihn vom Netz getrennt, d.h., besagter Freund kann Beileid. > sich im Moment nicht am System anmelden und muß erstmal versuchen, per > Telefondiagnose mit dem Provider für Ordnung zu sorgen. > Gibt es eine Möglichkeit, das aufzuräumen? Irgendwo muß ja dieser > Propagierungsprozeß gestartet werden, und das "Rootkit", das lt. Advisory > installiert wird, muß ja auch aus irgendwelchen Dingen bestehen, die bekannt > sind. Aehhm, das CERT-Advisory hast Du doch gelesen. Da steht doch alles drin. > Hat jemand einen URL in Reichweite? http://www.cert.org/incident_notes/IN-2001-01.html Sorry, falls ich dich da falsch verstanden hab. tim -- Tim Gesekus eMail: Tim Gesekus <[EMAIL PROTECTED]> COBOL programs are an exercise in Artificial Inelegance. --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
RE: [PUG] Server vom Ramen-Wurm befallen. Was nun?
> Aehhm, das CERT-Advisory hast Du doch gelesen. Da steht doch > alles drin. > > Hat jemand einen URL in Reichweite? > http://www.cert.org/incident_notes/IN-2001-01.html Kannte ich nicht, nur die Advisories zu LPD und Portmapper. MEIN System ist ja in Ordnung. ;-) Schaut aus, als könnte man einfach ein Script zusammenschreiben, um das System wieder halbwegs glattzuziehen. Danke, -martin --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
