[Tech] Ambasciator non porta pena ... ma NIMDA puo essere su linux ...

Dom 23 Set 2001 10:39:57 CEST

Nella pulizia delle varie macchine, a parte due 2000Pro e un ME e 
un Win 95 (su cui guarda caso sono entrati gli stessi due 
sconsiderati utenti ...) completamente da buttare (riformattazione 
dell'HD) ci sono sta molte macchine infestate. 
Tra queste due server linux:
Su questo va posta attenzione: 
  1. era attivo samba
  2. i files erano degli EML presenti nella home directory dell'utente
      che ha distrutto la propria macchina ME, con permission 0600 
      e con owner/group tale utente.
      Con queste permission poteva solo autoinfettarsi da un'altra
      macchina
  3. Tuttavia un paio di files li ho trovati su directories accessibili
      solo via ftp ( /var/tmp ) . Quindi anche tale tramite è possibile
  4. Questo significa che tecnicamente se tale utente avesse avuto
      una directory web accssibile NIMDA avrebbe potuto alterarvi i
      files html e pertanto trasmettere il virus, pur senza esserne
      infettata, a sistemi "sensibili" .
  5. qualcuno ha osservato "in liberta`" questo comportamento ?
Leonardo Boselli
nucleo informatico e telematico
Dipartimento Ingegneria Civile
Universita` di Firenze
V. S. Marta 3 - I-50139 Firenze
tel +39()0554796431 fax +39()055495333
http://www.dicea.unifi.it/~leo