[unix-ws] Vorgehen des ZAIK/RRZK bei Beschwerden über Code Red- und Sir Cam-Attacken

Sebastian Hagedorn Hagedorn at uni-koeln.de
Mon Aug 27 09:33:34 CEST 2001 

Hallo,

wie die meisten von Ihnen/Euch mitbekommen haben werden, kursieren derzeit 
zwei besonders aggressive Viren bzw. Würmer, nämlich Code Red und Sir Cam. 
Informationen hierzu sind z.B. auf der Homepage des RRZK zu finden.

Leider sind auch viele Rechner innerhalb des UKLAN von den Schädlingen 
befallen. Infizierte Hosts versuchen per E-Mail bzw. per HTTP weitere 
Rechner anzustecken. In manchen Fällen melden sich die BesitzerInnen 
attackierter Rechner, um sich bei uns zu beschweren. Wir suchen außerdem 
selbst aktiv nach von Code Red befallenen Rechnern, indem wir die Logfiles 
unserer Webserver auswerten.

Nachdem wir in der Vergangenheit zunächst versucht hatten, die Betreiber 
infizierter Rechner zu erreichen, damit diese geeignete Maßnahmen ergreifen 
könnten, haben wir uns aufgrund der oftmals unzureichenden Reaktionen dazu 
entschlossen, energischer zu reagieren.

Wir werden ab sofort in solchen Fällen die betroffenen Rechner auf ihrem 
Router vom Rest des Netzes abhängen. Erst danach erfolgt die Information 
des/der Netzbeauftragten. Sollten Einwahlrechner betroffen sein, wird der 
zur Einwahl verwendete Account vorübergehend gesperrt.

Die Sperren werden erst dann wieder aufgehoben, wenn uns glaubhaft 
versichert wurde, dass das Problem behoben wurde. Diese Regelung gilt 
analog für zukünftige Viren etc., die eine ernsthafte Gefährdung für andere 
Rechner darstellen.

Ich bitte um Verständnis für diesen Entschluss und fordere Sie/Euch auf, 
möglicherweise bestehende Sicherheitslücken (insbesondere den Microsoft 
Internet Information Server) zu überprüfen. Die Erfahrung zeigt, dass 
einmaliges Patchen nicht ausreicht! Der Patch muss nach jeder 
Konfigurationsänderung neu installiert werden!

Gruß, Sebastian Hagedorn
--
Sebastian Hagedorn M.A. - RZKR, Zimmer 18
Zentrum für angewandte Informatik - Unversitätsweiter Service RRZK
Universität zu Köln / Cologne University - Tel. +49-221-478-5587
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 228 bytes
Beschreibung: nicht verfügbar
URL         : https://lists.uni-koeln.de/mailman/private/unix-ws/attachments/20010827/1f19d29e/attachment-0001.bin