Nimda-worm filteren met Squid-proxy

F&L, uitgever van de Nederlandstalige editie van c't, heeft een korte doch doeltreffende tip gepost waarmee gebruikers van een Squid proxy server hun netwerk kunnen beschermen tegen de Nimda-worm. De Nimda-worm koppelt aan alle webpagina's op een getroffen webserver een bestand met de naam 'readme.eml', welke wordt verstuurd naar de browser wanneer deze de pagina opvraagt. Door een oude bug in onder andere Internet Explorer IE5.0 wordt deze email geopend, wat neerkomt op het uitvoeren van het script dat in het bestand is opgenomen. Door toevoeging van een aantal extra regels in squid.conf kunnen .eml files door de proxy geblokkeerd worden. Dit werkt uiteraard niet tegen infectie via attachments in emails:

# .eml-bestanden wegfilteren

acl worm urlpath_regex -i .eml$
http_access deny worm

Door Femme Taken

UX Designer

Feedback • 21-09-2001 09:59 18

21-09-2001 • 09:59

18

Bron: F&L

Lees meer

Kritieke bug in Internet Explorer ontdekt
Kritieke bug in Internet Explorer ontdekt Nieuws van 1 juli 2005
Virussen in toom houden door beperken aantal e-mails
Virussen in toom houden door beperken aantal e-mails Nieuws van 27 november 2002
Voyager Alpha Force bedreigt webservers
Voyager Alpha Force bedreigt webservers Nieuws van 23 november 2001
Besmette Nimda-fix met trojan circuleert via mail
Besmette Nimda-fix met trojan circuleert via mail Nieuws van 2 oktober 2001
Nimda heropent z'n aanval deze ochtend
Nimda heropent z'n aanval deze ochtend Nieuws van 28 september 2001
Nieuwe IIS/Mail worm 'Nimda' slaat toe
Nieuwe IIS/Mail worm 'Nimda' slaat toe Nieuws van 18 september 2001
Meer producten en artikelen
Bedrijfsnieuws

Reacties (18)

-Moderatie-faq
18
18
14
2
1
0
Wijzig sortering

Sorteer op:

Weergave:
bkor 21 september 2001 10:45
acl worm urlpath_regex -i .eml$
Klopt niet helemaal, een betere versie is:
acl worm urlpath_regex -i \.eml$
Daarnaast kan je gelijk nog een volgende regel toevoegen:
acl troep urlpath_regex (cmd\.exe|root\.exe|default\.ida)
http_access deny troep
Edit: Na de \ moet telkens een . staan, alleen is dat niet duidelijk zichbaar.
Verwijderd 21 september 2001 10:21
Ik moet zeggen dat ik dit virus al 5x tegen gekomen ben op verschillende sites waar ik regelmatig kom.
In feite is dit erg veel. Dat zegt al veel over dit virus. Gelukkig springt Norton in als ik hem tegenkom en verwijderd/quaratined hij hem gelijk. Toch bizar geprogrammeerd om zich zelfs op deze wijze via HTML te verspreiden. Geniaal verzonnen maar tegelijk erg gevaarlijk en legt zo het internet plat door al het verkeer wat het (kan) creeeren.
]Byte[ @Verwijderd21 september 2001 11:02
Ik moet zeggen dat ik dit virus al 5x tegen gekomen ben op verschillende sites waar ik regelmatig kom.
In feite is dit erg veel. Dat zegt al veel over dit virus.
Het zegt eerder veel over de beheerders van de sites! |:( |:( |:( |:(
_BladE2k_ 21 september 2001 10:47
Het is natuurlijk wel fijn dat deze squid proxy een klein deel van de worm kan tegen houden, nl. het verspreiden van e-mail via web pages. :)

Maar eigenlijk HOEFT er niet eens zo'n workaround te zijn. Deze worm draait op oude bugs van IIS/IE5 die al een behoorlijke tijd gepatched kunnen worden. |:(

Als de sys.beheerders niet eens hun systemen hebben gepatcht, lijkt het me ook niet waarschijnlijk dat ze deze patch/workaround installeren. :Z
HellRaiser @_BladE2k_21 september 2001 15:51
Ik kan me voorstellen, dat je binnen een grote organisatie niet een goed overzicht hebt van de workstations die gepatched zijn. (Of een domme user die zelf zijn win98 heeft geinstalled) Dan is dit wel een oplossing, omdat je het op de server kunt installeren als proxy. Dit heeft dus NIETS te maken met de patch die op W2K draait (IIS Security)

Daarbij draait squid ook nog eens onder UNIX, dus wat de lakse NT4/2k beheerder hier mee te maken heeft??
Sir Abarth @HellRaiser22 september 2001 04:28
Ach, misschien bestaat er wel een squidNT, maarja, als superl33t *nix persoon weet je dat niet natuurlijk ;)
Stealthje @Sir Abarth25 september 2001 21:50
welke gek gaat er dan ook squid onder NT draaien ?

Squid is voor UNIX geschreven, niet voor NT. En bovendien werkt het daarom beter dan winproxy, wingate ed
Aetje 21 september 2001 14:39
Werkt dit ook in de Freesco router :? :? zoja wil ik graag weten waar in de proxy/router config files je dit in moet vullen... Zo ja kan ik gerust m'n LANnetje online zetten... :z

* Aetje is nog geen Linux whizz helaas... ;(
VHware @Aetje21 september 2001 15:19
Als je ff Squid installeert wel....
http://www.squid-cache.org/Versions/v2/2.4/
Heb je dus weer een harddisk nodig.
Masselink 21 september 2001 10:17
Dit lost het probleem niet op, dit is een workaround.
Het is een bug waarvan gebruik gemaakt word, daar moet een patch voor komen.....

edit:
reactie op okidokie:

dan is het gewoon 'bloody ignorance' van de beheerder
Verwijderd 21 september 2001 10:20
Door een oude bug in onder andere Internet Explorer IE5.0 wordt deze email geopend, wat neerkomt op het uitvoeren van het script dat in het bestand is opgenomen.
Die is er dus al.
Verwijderd 21 september 2001 15:07
De Nimda removal tool is te downloaden van http://www.nai.com
DJ 21 september 2001 16:20
Ik heb hem maar meteen in mijn proxy gezet . . . :P

Squid schopt kont . . .

DJ
Verwijderd 21 september 2001 17:39
Zeg,

ben wat dit betreft maar een nitwit, maar als je als prutsende thuisgebruiker in bijvoorbeeld getright bij monitoring ook de xtensie .eml zet, kun je dan ook niet het nimda virus afvangen als het in een website gebakken zit????? Voor Email helpt dit uiteraard niet, zo ver ben ik nog wel......
bomba23 21 september 2001 10:14
Kijk! daar heb je tenminste wat aan!
Al uitgevoerd! :P

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq