[unix-ws] Vorgehen des ZAIK/RRZK bei Beschwerden über Code Re d- und Sir Cam-Attacken

[Birgitt Börsch-Pulm]

At 09:33 27.08.2001 +0200, you wrote:
>Hallo,
>
>wie die meisten von Ihnen/Euch mitbekommen haben werden, kursieren derzeit 
>zwei besonders aggressive Viren bzw. Würmer, nämlich Code Red und Sir Cam. 
>Informationen hierzu sind z.B. auf der Homepage des RRZK zu finden.
>
>Leider sind auch viele Rechner innerhalb des UKLAN von den Schädlingen 
>befallen. Infizierte Hosts versuchen per E-Mail bzw. per HTTP weitere 
>Rechner anzustecken. In manchen Fällen melden sich die BesitzerInnen 
>attackierter Rechner, um sich bei uns zu beschweren. Wir suchen außerdem 
>selbst aktiv nach von Code Red befallenen Rechnern, indem wir die Logfiles 
>unserer Webserver auswerten.
>
>Nachdem wir in der Vergangenheit zunächst versucht hatten, die Betreiber 
>infizierter Rechner zu erreichen, damit diese geeignete Maßnahmen ergreifen 
>könnten, haben wir uns aufgrund der oftmals unzureichenden Reaktionen dazu 
>entschlossen, energischer zu reagieren.
>
>Wir werden ab sofort in solchen Fällen die betroffenen Rechner auf ihrem 
>Router vom Rest des Netzes abhängen. Erst danach erfolgt die Information 
>des/der Netzbeauftragten. Sollten Einwahlrechner betroffen sein, wird der 
>zur Einwahl verwendete Account vorübergehend gesperrt.

Ich halte diese Vorgehensweise vorsichtig ausgedrückt für problematisch.
Sippenhaft ist meiner Meinung nach in Deutschland längst abgeschafft.

Eine Information der Sysadmins vor jeder Aktion Ihrerseitsch halte ich für
unabdingbar.
Wenn diese dann nicht reagieren, haben Sie selbstverständlich das Recht im
Interesse der Netzwerksicherheit einzugreifen.
Aber diese Reihenfolge der Vorgehensweise halte ich für dringed erforderlich.

Mit freundlichen Grüßen und in der Hoffnung auf eine weiterhin gute
Zusammenarbeit

Birgitt Börsch-Pulm