Help Urgentee!

vbimport

#1

Raga’ mi sono connesso ed aprendo una pagina internet dei miei preferiti mi e’ comparsa l’immagine che vedete nel link sotto. Contemporaneamente l’avp mi ha segnalato il Worm Solaris Sadmind. Di che si trattaaaa.
Sono riuscito solo a capire che sono stato attaccato e che questi attacchi sono possibili a pc con sistema operativo Winzoz 2000. Da qui una pach x evitare cio’. Di seguito una specie di traduzione dal sito della microsoft: Colpito! In primo luogo
Questo aggiornamento risolve " amplificatore incontrollato nell’ estensione di ISAPI potrebbe permettere il compromesso la vulnerabilità di sicurezza del server di IIS 5,0 " in Window 2000 ed è discusso nel trasferimento dal sistema centrale verso i satelliti del bollettino MS01-023. di sicurezza del Microsoft ora per impedire ad un utente cattivo di prendere il controllo del vostro web server.
L’ estensione di stampa Internet di ISAPI (interfaccia di programmazione di applicazione Internet di servizi) per i Window 2000 ha un amplificatore incontrollato (un deposito provvisorio di dati che ha una capienza limitata) richieste di stampa nel codice dei quegli utenti di processi. Una richiesta specificamente deforme da un utente cattivo può indurre l’ amplificatore a traboccare. Fare così assegna all’ utente cattivo i privilegi locali del sistema, permettendo che lui prenda il controllo completo del web server. Questo aggiornamento elimina la vulnerabilità accertandosi che l’ estensione di ISAPI controlli correttamente l’ input.

La nota anche se il componente affected non fa parte dei servizi d’informazione Internet (IIS) 5,0, la vulnerabilità è presente soltanto in cui IIS 5,0 sta funzionando.

Per le più informazioni su questa vulnerabilità , leggere il bollettino MS01-023 di sicurezza del Microsoft .

Requisiti Del Sistema
Questo aggiornamento applica ai Window 2000 calcolatori che fanno funzionare IIS 5,0 ( Io ho Winzoz 98se ).

Il link qui’ sotto e’ pulito ed e’ del sito dell’Avp:

http://www.avp.ch/avpve/worms/net/sadmind.stm

Aiutatemi a capire qualcosa in piu’ e sopratutto a capire se posso essere soggetto ad altri attacchi.


#2
  1. un buon firewall
  2. un buon antivirus aggiornato e settato in maniera decente

Ancora meglio sarebbe applicare al sistema tutte le patch rilasciate dalla microsoft


#3

Originally posted by XYWZHK
[B]Raga’ mi sono connesso ed aprendo una pagina internet dei miei preferiti mi e’ comparsa l’immagine che vedete nel link sotto. Contemporaneamente l’avp mi ha segnalato il Worm Solaris Sadmind. Di che si trattaaaa.
Sono riuscito solo a capire che sono stato attaccato e che questi attacchi sono possibili a pc con sistema operativo Winzoz 2000. Da qui una pach x evitare cio’. Di seguito una specie di traduzione dal sito della microsoft: Colpito! In primo luogo
Questo aggiornamento risolve " amplificatore incontrollato nell’ estensione di ISAPI potrebbe permettere il compromesso la vulnerabilità di sicurezza del server di IIS 5,0 " in Window 2000 ed è discusso nel trasferimento dal sistema centrale verso i satelliti del bollettino MS01-023. di sicurezza del Microsoft ora per impedire ad un utente cattivo di prendere il controllo del vostro web server.
L’ estensione di stampa Internet di ISAPI (interfaccia di programmazione di applicazione Internet di servizi) per i Window 2000 ha un amplificatore incontrollato (un deposito provvisorio di dati che ha una capienza limitata) richieste di stampa nel codice dei quegli utenti di processi. Una richiesta specificamente deforme da un utente cattivo può indurre l’ amplificatore a traboccare. Fare così assegna all’ utente cattivo i privilegi locali del sistema, permettendo che lui prenda il controllo completo del web server. Questo aggiornamento elimina la vulnerabilità accertandosi che l’ estensione di ISAPI controlli correttamente l’ input.

La nota anche se il componente affected non fa parte dei servizi d’informazione Internet (IIS) 5,0, la vulnerabilità è presente soltanto in cui IIS 5,0 sta funzionando.

Per le più informazioni su questa vulnerabilità , leggere il bollettino MS01-023 di sicurezza del Microsoft .

Requisiti Del Sistema
Questo aggiornamento applica ai Window 2000 calcolatori che fanno funzionare IIS 5,0 ( Io ho Winzoz 98se ).

Il link qui’ sotto e’ pulito ed e’ del sito dell’Avp:

http://www.avp.ch/avpve/worms/net/sadmind.stm

Aiutatemi a capire qualcosa in piu’ e sopratutto a capire se posso essere soggetto ad altri attacchi.
[/B]

Possibile che nessuno sa darmi una mano o tantomeno ci provi???


#4

… sono possibili bersagli e di conseguenza oggetto di continui attacchi!

Basta prendere le dovute precauzioni, quel worm come del resto quasi tutti gli altri sfrutta dei bachi di sicurezza del sistema operativo o di suoi componenti.

Per ovviare a tale pericolo basta seguire le regole basilari valevoli per tutti gli altri agentoi infettanti che ho riportato nel precedente post.

Se c’è qualcosa di specifico che vuoi sapere basta chiederlo.


#5

Vorrei aiutarti, ma ha postato la traduzione fatta da babelfish di qualcosa in inglese? :confused:

I suggerimenti di Gintonik sono la soluzione e la prevenzione a questo tipo di problema.

In ogni caso, dalle informazioni di AVP il worm usa buchi di macchine SUN per attaccare web server Microsoft e non crea altri danni. A meno che tu non abbia installato IIS sulla tua macchina
:cool:
Il problema è se quando ti connetti in rete e questo scannerizza il mondo, usando IL TUO IP. Un firewall bloccherebbe questi tentativi, fintanto che non rimuovi il vermicello.

Bye


#6

Il problema e’ che quando mi sono connesso e mi e’ comparsa la pagina incriminata, avevo ZoneAlarm Pro attivato piu’ Intruder Alert. che non mi ha segnalato niente. L’unico che mi ha avvisato e’ stato l’Avp fortunatamente. Da quanto si e’ capito questo worm sfrutta un bug di winzoz 2000 (mentre io uso ancora il 98se). Il Worm sono riuscito a rimuoverlo credo. Mi resta sempre il dubbio che non si stiano facendo degli scan sulla rete con il mio ip. Tra l’altro ho anche adsl quindi ancora piu’ pericoloso visto che sono on line h 24.

Grazie x l’aiuto comunque. Bye Fabio


#7

Si sta diffondendo il worm Sadmind/IIS worm, che, prendendo come “base di lancio” i server Solaris attacca e modifica l’home page dei server basati su Windows NT e IIS 4 o 5

Gli amministratori di server Web basati su Windows NT farebbero bene a preoccuparsi. Il CERT ha scoperto che un worm, chiamato Sadmind/IIS worm, si sta diffondendo su piattaforma Solaris sfruttando alcuni suoi buchi di sicurezza (scoperti diverso tempo fa ma, purtroppo, spesso non ancora “patchati”) e, sfruttando i computer sui quali si installa, prende di mira i server basati su Windows NT, attaccandoli.

In particolare, il worm sfrutta un problema riscontrato sul server IIS versione 4 e 5 attivo su sistema operativo Windows NT, riconosciuto da Microsoft ed identificato come “Web server folder directory traversal vulnerability”, per il quale esiste già da diverso tempo una patch sul sito ufficiale del produttore.

Sfruttando questo bug il worm può infiltrare ed eseguire software maligno sul server NT semplicemente inviandogli una URL formattata secondo un particolare schema.
Grazie a ciò, il worm può cancellare i dati presenti sui siti nei quali riesce ad entrare oppure prendere il controllo del sistema, anche se sembra che il Worm agisca in modo meno sofisticato, limitandosi a modificare l’Home Page del sito o dei siti ospitati sul server, inserendovi un messaggio che “rimprovera” il governo americano ed un gruppo di hacker che si fa chiamare PoizonBOx.

Per lanciare gli assalti il virus sfrutta invece un problema di Solaris noto come “Sadmind” (per il quale esiste una patch già da dicembre del 1999), che permette al virus di installarsi sul server e fare di esso la sua “base” per diffondersi ulteriormente.
Il worm è programmato per non manifestarsi sul sistema ospite almeno fino a quando non riesce ad attaccare con successo 2.000 server NT. Solo a questo punto il virus rivela la sua presenza “sfregiando” l’home page del sito ospitato dal server Solaris.


Alcune versioni di solaris vengono rilasciate con una versione di sadmin vulnerabile ad un buffer overflow exploitabile da remoto.
sadmin è il daemon usato da “Solstice AdminSuite” per svolgere funzioni di amministrazione di sistema distribuita (aggiungere utenti, ad esempio).
‘sadmin’ viene eseguito automaticamente dal daemon ‘inetd’ quando viene ricevuta una richiesta.

Sulle versioni di sadmin soggette al DoS (2.6 e 7.0 sono quelle testate), se viene passato un buffer troppo lungo a NETMGT_PROC_SERVICE ( chiamato dalla funzione clnt_call() ), è possibile sovrascrivere il pontatore allo stack ed eseguire codice arbitrario.
Il buffer in questione sembra contenere il nome di dominio del client.
L’overflow prende luogo nella funzione ‘amsl_verify()’. Poiche’ ‘sadmin’ viene eseguito
come root qualunque comando inviato nel buffer sarà eseguito con prvilegi di root.

Exploit:
<sadminsparc.c>
<sadminx86.c>

Soluzioni:
Come soluzione temporanea, è consigliabile commentare la linea
che utilizza ‘sadmin’ nel file ‘/etc/inetd.conf’

Per default, la linea che avvia ‘sadmin’, contenuta nel file ‘/etc/inetd.conf’,
è la seguente:

100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind

Se proprio si rende necessario l’utilizzo di questo servizio, l’unica soluzione attuale, è quella di settare il proprio firewall, per bloccare tutti gli accessi esterni a questo servizio.