Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

6

ISP desconectan a sus clientes con Nimda

Wired cuenta que ante el drástico aumento de tráfico que producen los virus como Nimda, varios ISP de banda ancha han optado por desconectar de su red a los usuarios que detectan que están infectados. De hecho, en los logs del firewall (BlackIce en mi caso) se puede ver claramente como cada dos minutos hay un intento de conexión en el pto. 80 (HTTP). Esto provoca un aumento de tráfico y es la razón por la que se ralentiza la red. Recordemos que el Nimda, entre otras muchas formas de reproducción utiliza varios bugs y restos del Code Red para contaminar servidores IIS o Personal Web Server. También se reproduce por NetBios.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    BocaDePez BocaDePez
    0

    Ya ves q haria yo sin mi Apache en linux XDD APACHE & Linux rlz Micro$oft Internet Information Server sigue delatando sus ya

    Ya ves q haria yo sin mi Apache en linux XDD APACHE & Linux rlz Micro$oft Internet Information Server sigue delatando sus ya inumerables vurneablilidades, haber si el tio Billy se le ocurre hacer las cosas mejore a un precio mas competitivo

    • Cerrado

      BocaDePez BocaDePez
      0

      Era sistemas Unix (cualquier sabor) pero con Apache, y la…

      Era sistemas Unix (cualquier sabor) pero con Apache, y la ultima cifra que vi era el 62% frente a un 22% (aproximadamente) de NT's.

      De todos modos la virulencia de los ataques de los ultimos gusanos unos pocos NT's bastan para afectar de modo significativo a la Red, los gusanos que han salido para Unix (excepto el famoso gusano de Morris del 88) tienen poca trascendencia la razón es que detrás de un servidor Unix suele haber un profesional, en el caso de un NT suele suceder al contrario y la norma es que haya un patán que no tiene ningún control sobre lo que hace, por supuesto tambien hay algunos que son profesionales, claro.

      De todos modos analizando los logs del Apache me di cuenta de que la mayoría de ataques provienen de usuarios caseros y/o pequeños servidores de empresa y es que tras la pesadilla del Red Code los admins se han preocupado de parchear o se han pasado a Unix.

  • Cerrado

    BocaDePez BocaDePez
    0

    aja! asin ke toda la peña ke me saltaba en el blackice hace unos dias en el puerto 80 era peña ke tenia el virus ese?... y

    aja! asin ke toda la peña ke me saltaba en el blackice hace unos dias en el puerto 80 era peña ke tenia el virus ese?... y ahora no me saltan el fire... los habran desconectao??? o ya lo habran limpiao??? bueno por lo menos ya se ke koño era akella avaancha de paketes al puerto 80 XDDDDD

    • Cerrado

      BocaDePez BocaDePez
      0

      Como te fíes demasiado del BlackIce estás vendido. Pasate al…

      Como te fíes demasiado del BlackIce estás vendido. Pasate al ZoneAlarm o al Tiny Personal Firewall si quieres tener la retaguardia protegida que ambos, además de monitorizar el tráfico en tu sistema, bloquean las intrusiones.

  • Cerrado

    Vale!! A mi tambien me pasaba lo mismo con el BlackIce, cada dos minutos tenia ataques... Ahora lo entiendo todo... Ademas

    Vale!! A mi tambien me pasaba lo mismo con el BlackIce, cada dos minutos tenia ataques... Ahora lo entiendo todo... Ademas, esta vez me he encontrado en el meollo del asunto: estaba infectado con el Nimda... Pero que ilusion cuando lo dejas todo limpito eh!? ;)

    Aleix

  • Cerrado

    Este es un log de mi server bajo WebStar, puede verse como uno -de entre muchos- de los IP "fantasma" infectado con Nimda

    Este es un log de mi server bajo WebStar, puede verse como uno -de entre muchos- de los IP "fantasma" infectado con Nimda intenta acceder a traves de 16 vulnerabilidades probadas en servidores IIS:

    09/19/01 23:31:42 298 ERR! 404 213.98.174.xx "" "www" :scripts:root.exe 501
    09/19/01 23:31:45 299 ERR! 404 213.98.174.xx "" "www" :MSADC:root.exe 501
    09/19/01 23:31:48 300 ERR! 404 213.98.174.xx "" "www" :c:winnt:system32:cmd.exe 501
    09/19/01 23:31:51 301 ERR! 404 213.98.174.xx "" "www" :d:winnt:system32:cmd.exe 501
    09/19/01 23:31:55 302 ERR! 404 213.98.174.xx "" "www" :scripts:..%5c..:winnt:system32:cmd.exe 501
    09/19/01 23:31:58 303 ERR! 404 213.98.174.xx "" "www" :_vti_bin:..%5c..:..%5c..:..%5c..:winnt:system32:cmd.exe 501
    09/19/01 23:32:02 304 ERR! 404 213.98.174.xx "" "www" :_mem_bin:..%5c..:..%5c..:..%5c..:winnt:system32:cmd.exe 501
    09/19/01 23:32:07 305 ERR! 404 213.98.174.xx "" "www" :msadc:..%5c..:..%5c..:..%5c:..¡..:..¡..:..¡..:winnt:system32:cmd.exe 501
    09/19/01 23:32:10 306 ERR! 404 213.98.174.xx "" "www" :scripts:..¡..:winnt:system32:cmd.exe 501
    09/19/01 23:32:13 307 ERR! 404 213.98.174.xx "" "www" :scripts:..¿/..:winnt:system32:cmd.exe 501
    09/19/01 23:32:16 308 ERR! 404 213.98.174.xx "" "www" :scripts:..¿Ø..:winnt:system32:cmd.exe 501
    09/19/01 23:32:19 309 ERR! 404 213.98.174.xx "" "www" :scripts:..¡ú..:winnt:system32:cmd.exe 501
    09/19/01 23:32:23 310 ERR! 404 213.98.174.xx "" "www" :scripts:..5c..:winnt:system32:cmd.exe 501
    09/19/01 23:32:25 311 ERR! 404 213.98.174.xx "" "www" :scripts:..5c..:winnt:system32:cmd.exe 501
    09/19/01 23:32:29 312 ERR! 404 213.98.174.xx "" "www" :scripts:..%5c..:winnt:system32:cmd.exe 501
    09/19/01 23:32:33 313 ERR! 404 213.98.174.xx "" "www" :scripts:..%2f..:winnt:system32:cmd.exe 501
    0

    Así, en estos días, he detectado como 50 o 60 intentos de acceso bajo esa forma, además de que los mismos IP van repitiendo los intentos a intérvalos parecidos de tiempo.

    Saludos

1