Nimda-worm filteren met Squid-proxy

Door Femme Taken, vrijdag 21 september 2001 09:59
Bron: F&L, views: 753

F&L, uitgever van de Nederlandstalige editie van c't, heeft een korte doch doeltreffende tip gepost waarmee gebruikers van een Squid proxy server hun netwerk kunnen beschermen tegen de Nimda-worm. De Nimda-worm koppelt aan alle webpagina's op een getroffen webserver een bestand met de naam 'readme.eml', welke wordt verstuurd naar de browser wanneer deze de pagina opvraagt. Door een oude bug in onder andere Internet Explorer IE5.0 wordt deze email geopend, wat neerkomt op het uitvoeren van het script dat in het bestand is opgenomen. Door toevoeging van een aantal extra regels in squid.conf kunnen .eml files door de proxy geblokkeerd worden. Dit werkt uiteraard niet tegen infectie via attachments in emails:

# .eml-bestanden wegfilteren
acl worm urlpath_regex -i .eml$
http_access deny worm

Social sharing uitschakelen

12:38	Kabelbreuk in Stille Oceaan legt deel internet lam
04:52	FIC AquaPAD tablet PC deze maand in productie

Advertentie

Reacties

« 1 2 »

Door bomba23, vrijdag 21 september 2001 10:14

Kijk! daar heb je tenminste wat aan!
Al uitgevoerd!

Door Masselink, vrijdag 21 september 2001 10:17

Dit lost het probleem niet op, dit is een workaround.
Het is een bug waarvan gebruik gemaakt word, daar moet een patch voor komen.....

edit:
reactie op okidokie:

dan is het gewoon 'bloody ignorance' van de beheerder

Door okidokie, vrijdag 21 september 2001 10:20

Door een oude bug in onder andere Internet Explorer IE5.0 wordt deze email geopend, wat neerkomt op het uitvoeren van het script dat in het bestand is opgenomen.

Die is er dus al.

Door CRiViT91, vrijdag 21 september 2001 10:21

Ik moet zeggen dat ik dit virus al 5x tegen gekomen ben op verschillende sites waar ik regelmatig kom.
In feite is dit erg veel. Dat zegt al veel over dit virus. Gelukkig springt Norton in als ik hem tegenkom en verwijderd/quaratined hij hem gelijk. Toch bizar geprogrammeerd om zich zelfs op deze wijze via HTML te verspreiden. Geniaal verzonnen maar tegelijk erg gevaarlijk en legt zo het internet plat door al het verkeer wat het (kan) creeeren.

Door ]Byte[, vrijdag 21 september 2001 11:02

Ik moet zeggen dat ik dit virus al 5x tegen gekomen ben op verschillende sites waar ik regelmatig kom.
In feite is dit erg veel. Dat zegt al veel over dit virus.

Het zegt eerder veel over de beheerders van de sites!

Door Chibi Goku, vrijdag 21 september 2001 10:45

Ik geloof dat ik maar eens een virus scanner op ga zoeken.
Ik had er 1 van de pcm gekregen, maar die cd is spontaan in m`n cdrom-speler gebroken

(komt dat ook door het virus, oh oh anti-virus cd, KRAK!!!)

Door bkor, vrijdag 21 september 2001 10:45

acl worm urlpath_regex -i .eml$

Klopt niet helemaal, een betere versie is:

acl worm urlpath_regex -i \.eml$

Daarnaast kan je gelijk nog een volgende regel toevoegen:

acl troep urlpath_regex (cmd\.exe|root\.exe|default\.ida)
http_access deny troep

Edit: Na de \ moet telkens een . staan, alleen is dat niet duidelijk zichbaar.

Door _BladE2k_, vrijdag 21 september 2001 10:47

Het is natuurlijk wel fijn dat deze squid proxy een klein deel van de worm kan tegen houden, nl. het verspreiden van e-mail via web pages.

Maar eigenlijk HOEFT er niet eens zo'n workaround te zijn. Deze worm draait op oude bugs van IIS/IE5 die al een behoorlijke tijd gepatched kunnen worden.

Als de sys.beheerders niet eens hun systemen hebben gepatcht, lijkt het me ook niet waarschijnlijk dat ze deze patch/workaround installeren.

Door HellRaiser, vrijdag 21 september 2001 15:51

Ik kan me voorstellen, dat je binnen een grote organisatie niet een goed overzicht hebt van de workstations die gepatched zijn. (Of een domme user die zelf zijn win98 heeft geinstalled) Dan is dit wel een oplossing, omdat je het op de server kunt installeren als proxy. Dit heeft dus NIETS te maken met de patch die op W2K draait (IIS Security)

Daarbij draait squid ook nog eens onder UNIX, dus wat de lakse NT4/2k beheerder hier mee te maken heeft??

Door Sir Abarth, zaterdag 22 september 2001 04:28

Ach, misschien bestaat er wel een squidNT, maarja, als superl33t *nix persoon weet je dat niet natuurlijk

Door Stealthje, dinsdag 25 september 2001 21:50

welke gek gaat er dan ook squid onder NT draaien ?

Squid is voor UNIX geschreven, niet voor NT. En bovendien werkt het daarom beter dan winproxy, wingate ed

Door Cameo!, vrijdag 21 september 2001 11:29

Inderdaad een beetje overbodig naar mijn mening. Patchen, Virusdefinitiefiles centraal up-to-date houden voor alle clients en servers en vreemd verkeer loggen. En dan maar bidden dat er niet een client het in zijn harses haalt om zijn AV via een truukje te disablen (om welke reden dan ook).

Het proxytruukje is beperkt handig als clients (achter de vuurmuur) geen AV-software hebben.

Door empirebart, vrijdag 21 september 2001 13:37

je kan ook gewoon IE5.5 Service PackII of hoger installeren dan heb je da probleem ook niet.

Door Aetje, vrijdag 21 september 2001 14:39

Werkt dit ook in de Freesco router