WINDOWS, IIS ET LA SECURITE |
|
|
Cette page aborde en détail les conséquences techniques des virus CodeRep et Nimda ainsi que des conseils pour réduire leur conséquences ou les éviter.
Le virus CodeRed affecte les
serveurs en surchargeant le processeur en remplaçant les pages HTML par
une page contenant le message : Pour en savoir plus consultez le très complet site www.symantec.com notamment la page : http://securityresponse.symantec.com/avcenter/venc/data/codered.worm.html Le virus NIMDA (nom complet : W32.Nimda.A@mm) se propage à la fois par e-mail mais aussi en scannant le réseau à partir d'un serveur infecté. Celui ci remplace de nombreux fichiers sur les disques durs, infecte les pages HTM publiées et continue d'essayer d'infecter les autres serveurs et d'envoyer des mails. Consultez http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html pour en savoir plus. The CodeRed Worm affects Microsoft
Index Server 2.0 and the Windows 2000 Indexing service on computers
running Microsoft Windows NT 4.0 and Windows 2000 that run IIS 4.0 and
5.0 Web servers. The worm uses a known buffer overflow vulnerability
contained in the file Idq.dll. Information about this vulnerability and
a Microsoft patch is located at: NIMDA The worm sends itself out by email, searches for open network shares, attempts to copy itself to unpatched or already vulnerable Microsoft IIS web servers, and is a virus infecting both local files and files on remote network shares
Mettre à jour les serveurs c'est bien, les protéger par anti-virus c'est bien aussi, avoir un firewall efficace très bien aussi mais avez vous songé à tous vos serveurs de fichier, impression, applicatifs qui ont IIS installé et fonctionnant sans que ceci soit justifié ? Arretez ou désinstallez donc les services inutiles sur chaque serveur (serveur www, serveur ftp, index service, ...)
Les conseils qui suivent peuvent s'appliquer différemment suivant le contexte technique de votre entreprise, je ne garantit en rien leur fonctionnement dans votre entreprise. 1 - Le virus NIMDA s'appuie sur Outlook
express : la plupart des PC d'entreprise n'en n'ont pas besoin,
supprimez donc ce programme (en supprimant les fichiers exécutables,
tout simplement) Voici un batch effectuant les deux opérations sous NT4 : (je vous conseille de rediriger les messages vers un fichier de log pour vérifier ce qui se passe) @ECHO OFF |
Sommaire | Blog | www.MToo.net | Météo | Photos | Prestations | A propos |