Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: F&L

F&L, uitgever van de Nederlandstalige editie van c't, heeft een korte doch doeltreffende tip gepost waarmee gebruikers van een Squid proxy server hun netwerk kunnen beschermen tegen de Nimda-worm. De Nimda-worm koppelt aan alle webpagina's op een getroffen webserver een bestand met de naam 'readme.eml', welke wordt verstuurd naar de browser wanneer deze de pagina opvraagt. Door een oude bug in onder andere Internet Explorer IE5.0 wordt deze email geopend, wat neerkomt op het uitvoeren van het script dat in het bestand is opgenomen. Door toevoeging van een aantal extra regels in squid.conf kunnen .eml files door de proxy geblokkeerd worden. Dit werkt uiteraard niet tegen infectie via attachments in emails:

# .eml-bestanden wegfilteren

acl worm urlpath_regex -i .eml$
http_access deny worm

Moderatie-faq Wijzig weergave

Reacties (18)

acl worm urlpath_regex -i .eml$
Klopt niet helemaal, een betere versie is:
acl worm urlpath_regex -i \.eml$
Daarnaast kan je gelijk nog een volgende regel toevoegen:
acl troep urlpath_regex (cmd\.exe|root\.exe|default\.ida)
http_access deny troep
Edit: Na de \ moet telkens een . staan, alleen is dat niet duidelijk zichbaar.
Ik moet zeggen dat ik dit virus al 5x tegen gekomen ben op verschillende sites waar ik regelmatig kom.
In feite is dit erg veel. Dat zegt al veel over dit virus. Gelukkig springt Norton in als ik hem tegenkom en verwijderd/quaratined hij hem gelijk. Toch bizar geprogrammeerd om zich zelfs op deze wijze via HTML te verspreiden. Geniaal verzonnen maar tegelijk erg gevaarlijk en legt zo het internet plat door al het verkeer wat het (kan) creeeren.
Ik moet zeggen dat ik dit virus al 5x tegen gekomen ben op verschillende sites waar ik regelmatig kom.
In feite is dit erg veel. Dat zegt al veel over dit virus.
Het zegt eerder veel over de beheerders van de sites! |:( |:( |:( |:(
Het is natuurlijk wel fijn dat deze squid proxy een klein deel van de worm kan tegen houden, nl. het verspreiden van e-mail via web pages. :)

Maar eigenlijk HOEFT er niet eens zo'n workaround te zijn. Deze worm draait op oude bugs van IIS/IE5 die al een behoorlijke tijd gepatched kunnen worden. |:(

Als de sys.beheerders niet eens hun systemen hebben gepatcht, lijkt het me ook niet waarschijnlijk dat ze deze patch/workaround installeren. :Z
Ik kan me voorstellen, dat je binnen een grote organisatie niet een goed overzicht hebt van de workstations die gepatched zijn. (Of een domme user die zelf zijn win98 heeft geinstalled) Dan is dit wel een oplossing, omdat je het op de server kunt installeren als proxy. Dit heeft dus NIETS te maken met de patch die op W2K draait (IIS Security)

Daarbij draait squid ook nog eens onder UNIX, dus wat de lakse NT4/2k beheerder hier mee te maken heeft??
Ach, misschien bestaat er wel een squidNT, maarja, als superl33t *nix persoon weet je dat niet natuurlijk ;)
welke gek gaat er dan ook squid onder NT draaien ?

Squid is voor UNIX geschreven, niet voor NT. En bovendien werkt het daarom beter dan winproxy, wingate ed
Werkt dit ook in de Freesco router :? :? zoja wil ik graag weten waar in de proxy/router config files je dit in moet vullen... Zo ja kan ik gerust m'n LANnetje online zetten... :z

* Aetje is nog geen Linux whizz helaas... ;(
Als je ff Squid installeert wel....
http://www.squid-cache.org/Versions/v2/2.4/
Heb je dus weer een harddisk nodig.
Dit lost het probleem niet op, dit is een workaround.
Het is een bug waarvan gebruik gemaakt word, daar moet een patch voor komen.....

edit:
reactie op okidokie:

dan is het gewoon 'bloody ignorance' van de beheerder
Door een oude bug in onder andere Internet Explorer IE5.0 wordt deze email geopend, wat neerkomt op het uitvoeren van het script dat in het bestand is opgenomen.
Die is er dus al.
De Nimda removal tool is te downloaden van http://www.nai.com
Ik heb hem maar meteen in mijn proxy gezet . . . :P

Squid schopt kont . . .

DJ
Zeg,

ben wat dit betreft maar een nitwit, maar als je als prutsende thuisgebruiker in bijvoorbeeld getright bij monitoring ook de xtensie .eml zet, kun je dan ook niet het nimda virus afvangen als het in een website gebakken zit????? Voor Email helpt dit uiteraard niet, zo ver ben ik nog wel......
Kijk! daar heb je tenminste wat aan!
Al uitgevoerd! :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True