[HACK] RE: [HACK] Re: [HACK] Re: [HACK] RE: Hay que aprender cómo funciona el TCP/IP :-) (era Re: [HACK] Bug W2K server)

Sat Sep 1 12:34:34 CEST 2001

>>Suena más a gusano estilo Sircam o CodeRed. Si es que no ha copiado un

>por cierto estos dias con el snort (bonito programa pa linux) me he dado
>cuenta que muchisima gente aun tiene el CODERED estoy recibiendo una media
>de 100 aatques diarios en mi linux, tengo todas las IP (por lo que veo en
>mis logs el 90% son de la red de mi ISP de cable)  como puedo avisar a
estos
>usuarios? las IP en MENTA son dinamicas, deberia hacer una recoleccion de
IP
>y enviarselas a mi ISP (que pasara de todo...) o que me sugeris? es que me
>pone de los nervios ver tanto gusano atacandome

Adjunto el script que uso yo (gracias  Este script busca en el log del
Apache cualquier entrada nueva que se produzca (con el comando tail -n 0 -f)
para buscar "default.ida", que es la petición que suele hacer el gusano
CodeRed, default.ida?XXXXXXXXX... o default.ida?NNNNNNN)

Si el script encuentra una entrada con dichas características, manda un
mensaje utilizando el smbclient (como el comando "net send" desde un sistema
Windows) a la dirección IP del ordenador infectado. De esta manera, al
usuario se le abre una ventana con el mensaje que queramos, avisándole de
que está infectado y del proceso que tiene que hacer para desinfectar su
maravilloso ordenador con s.o. Windows, con lo cual, da igual que el usuario
utilice una dir IP dinámica, ya que le avisamos en el mismo instante que se
produce la petición del gusano...

Para ejecutarlo, simplemente se inicia con
./script.sh start &

Espero que os sirva.

Un saludo,

    Nobu Yamazaki
------------------------------
nobu.yamazaki at zyconsulting.com

ZY CONSULTING - Consultoría de telecomunicaciones y nuevas tecnologías

http://www.zyconsulting.com
c/ María Díaz de Haro 68, 2ªplanta, oficinas 13-14
48920 Portugalete (BIZKAIA)

Tel.  +34 94 472 35 94
Fax.  +34 94 472 36 05
------------------------------

#!/bin/sh

accesslog=/path/logs/de/Apache/access_log
personalloggfile=/donde/quieras/redalert.log

case $# in

    "1")
	tail -n 0 -f $accesslog | awk -v MYSELF=$0 '/default.ida/
{system(MYSELF" foo "$1)}'
	;;

    "2")
	user=$(/usr/bin/nmblookup -A $2 | awk '/-/ {print $1; exit}')
	$0 1 2 3 | /usr/bin/smbclient -M $user -I $2 -U "\"Apache user\""

	if [ "$?" = "0" ]; then
	    echo "$2 ($user) notified $(date)" >> $personalloggfile
	else
	    echo "error sending popup to $2 ($user) $(date)" >> $personalloggfile
	fi
	;;
    "3")
	cat <<EOF
***** VIRUS ALERT! *****

=> Your computer is infected with the Code Red worm! <=

(You are getting this message because your machine has tried to infect
mine)

For instructions of how to remove the worm follow this URL:
http://www.microsoft.com/technet/itsolutions/security/topics/codeptch.asp

Perhaps you want to install the Apache web server instead of IIS?
http://www.apache.org

Yours sincerely,
INSERT NAME AND MAIL ADDRESS HERE

EOF
	;;
     *)
	echo usage: $0 start
	;;
esac