Code Red und Chello User!

Code Red und Chello User! (48 Beiträge, 93 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Sers Leute!

Ich habe vor 2 Tagen ein Mail von Chello erhalten wo stand das ich angeblich den Code Red virus habe! Nun sofort lade ich mir die 2 Programm von MS runter die den Virus löschen sollen runter (anit code red programm und Cleaner)! nun erhalte ich heute wieder ein Mail von Chello wo stand das ich mir die oben genannten programm runterladen und sie ausführen solle, sonst sperrt mir chello meinen Internetzugang in den nächsten 24 Stunden! Als ich das Mail gelesen habe hab ich sofort die Programm noch mal ausgeführen!

Ich glaube ich hab auch gar nicht den Code red virus, weil ich hatte NIE Geschwindigkeitsprobleme mit Chello, hab immer meine konstanten ca. 30kb/sek!

naja, was meint ihr!?

mfg
Eagle150

ich meine, du solltest mal auf das chello mail antworten oder gleich bei der hotline anrufen!

Dr.Grunz

global intelligence is equal - only the population is growing

Das mach ich dann wenn Chello mir den Internetzugang sperrt, aber dann bekommen die von mir ordendlich was von mir zu hören auf der Hotline!

mfg
Eagle150

find ich sehr schlau, anstatt dass du IN TIME mit ihnen redest, lasst dich lieber abschalten und "feust" nachher die leute an, die dir vorher helfen wollten...

und wenn es um einen irrtum handelt, spricht (oder emailt) man das am besten aus...

Dr.Grunz

global intelligence is equal - only the population is growing

ja zumal der chello support dadurch nicht schneller wird, dass jemand ungehalten wird! Ich glaub das kennen die schon!

Ruf lieber vorher an oder schreib denen, wie sie darauf kommen!

Gruß

El Dot.

Hi Leute, hab das selbe mail bekommen nur mit dem UNterschied, daß ich kein Win NT oder Win 2000 oben habe, sondern Win ME! Hab auch keinen Web Server!
Was kann das sein!!!!?????
Stefan

Nagel mich nicht drauf fest, aber ich glaub der iis läuft nur auf der Serverversion von NT bzw. 2k! Also Mail an Chello!

Gruß

El Dot.

Ned dann! JETZT! Ruf JETZT an! Sudder den Techie an, red auf ihn ein, erklär ihm dass Du schon hundertmal den patch eingespielt hast, er möge nachschauen ob Du noch störst. JETZT!

Sorry, aber is' in Deinem Interesse. Weisst ja eh wie schnell die Typen reagieren, bis Du da Deine Leitung wieder hast is' Internet schon lang aus der Mode gekommen...

> Deine Leitung wieder hast is' Internet schon lang aus der Mode gekommen...

Ja nen Neuantrag is da wahrscheinlich schneller!

Gruß

El Dot.

ok ok, ich schick ihnen jetzt ein mail

aber ich poste hier einmal das Mail von chello und meine logdatei von dem MS cleaner!

Hier einmail das mail von Chello:

Sehr geehrter chello-Kunde von UPC Telekabel!

Sie haben am 09.08.01 11:11:34 eine Email von uns erhalten, in der wir Sie informierten, dass Ihr Microsoft IIS-Webserver mit hoher Wahrscheinlichkeit mit dem Virus 'Code Red Worm' infiziert wurde.

Leider mussten wir feststellen, das Ihr Microsoft IIS-Webserver noch nicht upgedated wurde.
Microsoft hat dazu bereits einen Sicherheits Patch (Update) zur Verfügung gestellt, welchen Sie bei Microsoft  kostenlos downloaden können.

Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
(Deaktiviert den Code Red Virus unter Windows NT)

Windows 2000
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
(Deaktiviert den Code Red Virus unter Windows 2000)

Code Red II Cleaner
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
(Löscht die Dateien die vom Virus am Computer angelegt wurden)

Führen Sie bitte sowohl den Sicherheitspatch, wie auch den Cleaner zum entfernen des Virus auf Ihrem Computer durch.

Microsoft Support Hotline
Kostenloser/kostenpflichtiger Telefon-Support von Microsoft zu Microsoft Produkten.
Montag - Freitag  von 8:00 - 18:00 und NEU Samstag von 9:00 - 17:00
Tel.:  Standard: (01)  50222 - 2255
Vertragsberatung: (01) 50222 - 2330
Web: http://www.microsoft.com/austria/support
Daneben bietet Ihnen eine Reihe von autorisierten Support Centern Unterstützung für Microsoft BackOffice Produkte. Informationen darüber beim Microsoft InfoService.

Wir bitten Sie umgehendst dieses Update innerhalb der nächsten 24 Stunden durchführen, um weitere Infektionen von MS-IIS Webservern und unnötigen Datenverkehr zu unterbinden. Aus Sicherheitsgründen und zum Schutz unserer User wären wir sonst gezwungen ihren Internet-Anschluss vorübergehend zu deaktivieren.

Wir bitten Sie um Verständnis und stehen Ihnen für zusätzliche  Fragen, oder die Reaktivierung ihres chello Anschlusses unter der Telefonnummer 96060 - 333 zur Verfügung.

Mit freundlichen Grüßen

Ihr chello-Team von UPC Telekabel
X-Mailer: myone

Und hier die Logdatei vom MS Cleaner:
Cleaning up Code Red Worm
If the system was internet-exposed, you should re-install system
To disable IIS, invoke with -disable option
Cannot open WWW Publishing Service
Removing files created by worm
Cannot open virtual roots key
System File protection enabled
Error opening IISAO - hr = 80040154

mfg
Eagle150

Hmm... scheinbar kann er bestimmte Dateien ned cleanen.

Ich denke, der IIS service sollte ausgeschaltet sein, damit's funktioniert, ausserdem wirst den Patch, wie bei MS üblich, als root ausführen müssen, damit Du auch die Berechtigungen hast, dies zu tun.

Jedenfalls kannst davon ausgehen, dass es ned funktioniert hat, wenn er Fehlermeldungen liefert.

also ich hab den Patch und das Cleaner Programm auch als Root ausgeführt komme aber immer zur gleichen Log Datei! Ich glaube das ich keine Code Red infizierten Dateien habe und darum er mir eine Fehlermeldung ausgibt bzw ausschreibt!

Mal 'ne saudumme Frage: Brauchst den IIS?

nö

ich wett der is bei der Standard-Install dabei...

so long

jo der ist leider bei der Standard-Installation dabei!

Dann schmeiss' den Service weg und Ruhe is'!

jo hab ich schon gemacht!

wenns so is, habens bei MS wieder mal gepfuscht...

lass mal das Tool von Central Command drüberlaufen
( http://www.centralcommand.com/ )

dann sollt er sicher (wenn noch was da is) furt sein...

so long

ich hab mir jetzt das Tool runtergeladen und ausgeführt und kann kam ich zu folgender meldung:

"IIS is not started on this computer. You computer is not vulnerable to CodeRed!"

ich glaube das wars, und chello kann mir jetzt nicht vorwerfen nichst gegen den Code Red gemacht zu haben!

Nochmal THX an alle

mfg
Eagle150

Wunderbar. Von mir würden Sie daraufhin kein Masil sondern ein Fax kriegen mit dem Betreff: "Kündigung". Wie kommen denn User dazu, für die Unfähigkeit des Providers zu büssen?

Ich hab´ bei meinem Anschluss noch nicht einmal Postscans gehabt. Heute war bei mir ein Typ von UCP, um meinen Telekabelanschluss in zwei neue Räume zu legen, der wusste nicht einmal was Code Red bedeutet. Aber mir Chello anbieten, das konnte er. Scheint eine echt tolle Truppe zu sein dort.

There´s one thing, better than everthing!

Ich werde ganz sicher dort KÜNDIGEN wenn das Internet aus der Steckdose kommt, *TRÖT*gesetzt das es auch "Fair use" ist und das man 1Mbit/sek hat!
Aber bis dahin muss ich weiter mit der Unfähigkeit von Chello kämpfen! Die paar Monate werde ich auch noch überstehen

Ich habe dauernt Portscans von der IP 0.0.0.0 , kein Scherz!

mfg
Eagle150

Weil wir grad bei Unfähigkeit sind. Was kann bitte Chello dafür, wenn die Kunden ned in der Lage sind, ihre Maschinen entweder sicher zu machen oder zumindest Dienste, die's in 99 Prozent der Fälle eh ned brauchen, zumindest abzudrehen?

Und das war jetzt nix gegen Dich, weil das betrifft die knapp 20 Typen pro Minute, die mein Logfile dichtknallen, mindestens genauso.

Jo es gibt halt auch Dinge wo Chello nicht schuld ist!
Aber das mit dem IIS und dem Code Red Virus liegt aber weder an Chello noch an die Chello-User, sonder an MS, die das einfach ohne zu Fragen bei der Standardinstallation mit installieren bei Win2k!

Aber das dann chello gleich droht mit der deaktivierung der Internetzugangens, ohne voher nochmal nachkontrolliert zu haben ob der user wirklich den Code Red Virus hat, das ist aber auch ein ganz schön starkes Stück von Chello!

mfg
Eagle150

Es ist technisch nur schwer bis gar ned möglich festzustellen, ob bei Dir noch der CodeRed aktiv ist, zumindest ohne Verfahren anzuwenden, die dann auch wieder Geschrei verursachen weil's einem Portscan mit dazugehöriger Verbindungsaufnahmeversuch gleichkommt. Daher werden's einfach alle Leute, deren Rechner in den letzten X Stunden 'n CodeRed Paket geschickt hat, angeschrieben haben. Wennst in der Zwischenzeit den Patch installiert hast, woher sollen's das wissen?

Übrigens, was spricht dagegen sich über ein System mal zu informieren bevor man's einfach ung'schaut auf die Platte schreiben lässt? Aber is' ja modern geworden. Ich verwette meinen Athlon gegen einen C64 dass 90 Prozent der Windows2000 User ned einmal wussten, dass der IIS auf ihrer Kiste installiert ist, davon dass er gestartet wurde haben sicher immer noch ähnlich viele keine Ahnung. Weil es ist ja eh SOOOO einfach und man muss ja nix über's System wissen.

Aber MS is' da in bester Gesellschaft. Wenn ich mir anschau was bei einer SuSE-Linux Standardinstallation alles an Servern hochläuft, von Telnet über FTP bis HTTP, da wird einem ja NUR mehr schlecht. Und NIEMAND findet's der Mühe wert auch nur mal nachzuschauen was denn da alles in seiner Kiste passiert. Warum auch, die von MS/SuSE/Mac/suchdirsaus werden schon wissen was gut ist.

So. Ich geh' jetzt mal 'ne Runde Lemmings spielen, aus irgendeinem Grund hab ich plötzlich Lust auf das Game...

Zu dem das die Win2k user nicht gewusst haben das sich IIS autom. auf dem system installiert gebe ich dir recht, weil ich habs auch nicht gewusst!

Aber angenommen wenn MS, SuSE, usw... ein Handbuch machen würde mit den ganzen Progammen und Startbefehlen mit der dazugehörigen beschreibung, wieviel Prozent der user würde sich den das durchlesen? Die meisten sind froh das ihr System ohne (vieler) Probleme funkz!

viel Spaß beim Lemmingen spielen!

mfg
Eagle150

Was meinst wie gut das System erst gehen würde, und vor allem um wieviel schneller und stabiler, wenn die User die Handbücher lesen (oder im Fall von MS-Produkten halt zuerst mal kaufen) und entsprechend die unnötigen Schrotttasks abdrehen würden?

Fly du bist wohl ein MS Fan

oder?

mfg
Eagle150

Oh ja, ich lieb's heiss und innig. Wenn's funktionieren täte hätte ich womöglich keinen Job!

man da hast recht!
Aber ein paar MS Fehler gehen einem ziehmlich auf die Nerven!

mfg
Eagle150

> dass 90 Prozent der Windows2000 User ned einmal wussten, dass der IIS auf
> ihrer Kiste installiert ist

Ähmm! Ich weiß zwar dass man auf w2k prof auch was installieren kann und dass der IIS bei w2k _Server_ automatisch dabei ist, aber soweit ich weiß muß man das Ganze erst händisch konfigurieren und starten! Das der IIS aber auch auf der workstation(professional) dabei sein soll ist mir neu! Beim Durchstöbern des Systems und entsprechender Fachliteratur finde ich auch keine Hinweise dafür! Kann allerdings deine Wette nicht halten, da ich keinen C64 besitze!

Gruß

El Dot.

Hi !

> Daher werden's einfach alle Leute, deren Rechner in den letzten X Stunden 'n > CodeRed Paket geschickt hat, angeschrieben haben. Wennst in der Zwischenzeit > den Patch installiert hast, woher sollen's das wissen?

So einfach isses leider nicht. Inzwischen machen Sie es sich ziemlich leicht, und schreiben offensichtlich alle an. Ich habe selbst am Freitag folgendes Statement bekommen :
-------------------------------------------------------------------------
Sehr geehrter chello-Kunde von UPC Telekabel!

Seit einigen Tagen ist ein neues Virus im Internet mit dem Namen
'Code Red' im Umlauf. Dieser Worm Virus infiziert Rechner auf
denen der Microsoft IIS Webserver läuft. Der IIS Webserver ist
Bestandteil der Betriebssysteme Windows NT und Windows 2000.

Da dieses Virus ständig versucht, weitere MS-IIS Webserver zu
infizieren , wird  zusätzlicher Datenverkehr im chello Netzwerk
wie auch im Internet verursacht.  Es besteht die große Gefahr
einer weiterführenden Infizierung anderer Computer, was auch
Auswirkungen auf die Leistung des chello Netzwerkes nach sich
ziehen kann. Die laufenden 'Anfragen' (= Versuch in weitere
Rechner einzudringen) die das Virus ins Internet sendet erreichen
auch die gesicherten chello-Router und werden - aus Servicegründen
-  von uns registriert.

Eine dieser 'Anfragen' kommt von ihrem Computer, was mit hoher
Wahrscheinlichkeit auf einen Code Red Virus auf Ihrem Rechner
schliessen läßt.
-----------------------------------------------------------------------

Nun jetzt schauts so aus :
Ich habe meistens w2k laufen(prof.) Dabei läuft _kein_ IIS 5.0 .
(Ist eine Stud.Version von der TU, die sind meistens Standardinstall.,aussuchen kannst aber nix während der Installation)
Trotzdem habe ich (falls ich den IIS mal später brauche und weils "nix schad'")
den Patch sofort nach Erscheinen installiert.Außerdem läuft Zonealarm ,ein Virenscanner und ein Trojanerwächter.
Alles in allem kann ich ausschließen, daß von mir tatsächlich diese "Anfrage" kam (wenns woanders her kommen kann, klärt's mich bitte auf !)
Auf meine Antwort mit der Frage, ob dieses jetzt eine Art Standardmail ist, die jeder bekommt (mit Anlage meiner Logfiles, schön als xls nach Chello-IP's aufbereitet, manche sind ja echt unverbesserlich (seit 2.8. bis heute 50 Hits von der gleichen IP

kam noch keine Antwort...

Scheint aber wirklcih so ein Standradmail zu sein, von "Sperren" oder so ist nix die Rede, sonst nur mehr die Links zum Download.
Die sollte übrigens wirklich jeder anklicken können, also nix von wegen nur "technisch versierte" könnten den Patch installieren.
Es wird schließlich alles erklärt, wenn man sich diese Mühe nicht machen will, sollens von Chello aus ruhig "drüberfahren".

gryps

Ich habe gerade die 2. Warnung bekommen, aber noch keine Antwort auf mein Reply

Jetzt drohen sie mir auch mit dem Sperren... habe nat. sofort zurückgemailt,
Antwort und Aufklärung verlangt, geschmückt mit den Logs der Scans vom Chello-center

Diesmal habe ich den Betreff geändert, vielleicht liegts daran, daß sie das erste nicht beantwortet haben ??

Wie auch immer, seltsame Dinge geschehen...

Jetzt hab' ich Antwort, aber damit kann man ja auch nicht grad' glücklich werden :

> Laut neuersten Informationen ist es möglich zumindest mit dem
> Virus infisziert zu werden. Bitte verwenden Sie den
> Code Red Cleaner den Sie unter folgenden Link downloaden können:

Von den Vertippslern abgesehen, irgendwie verstehen die was nicht :

kein IIS -> kein Virus

sieht das irgendjemand anders ?

Außerdem habe ich Ihnen schon 2 mal geschrieben, daß ich diesen Patch installiert habe, den cleaner laufen ließ...

Falls es jemanden interessiert :
heut' bin ich doch glatt angerufen worde,
von einem netten Chello Mitarbeiter

Der wollte dann noch am Telephon wissen, ob ich schon was vom Code Red wüßte,
und von den Patches....
War recht amüsant, recht praktische Gelegenheit, ihnen zu erklären, dass sie das mit der Sperre nicht zu machen brauchen

Hmm... wenn sie's echt an alle schicken haben's mich wieder mal vergessen.

Keiner mag mich...

Vielleicht nur an die, bei denen sie durch ihre scans feststellen,
daß sie "win-irgendwas" verwenden ?
Tust du doch net, oder ?

Wie kommt´s dann, dass ich das Problem nicht hab. Ich hab die Logfiles der Firewall angesehen: Schweigen im Walde.

Ich mein´, ich bin ja froh darüber, aber woher kommt der Unterschied: Chello User jaulen, Chello dreht öffentlich (siehe Medien) durch, Inode hat das Problem scheinbar nicht?

There´s one thing, better than everthing!

Wems interessiert hier ist die Anwort von Chello auf mein "Beschwerde Mail"! Und das haben die mir dann gleich 2x geschickt

Sehr geehrter Chello Kunde,

Falls Sie Ihr System bereits in Ordnung gebracht haben oder den Code Red Wurm nicht auf Ihren System hatten (zb. Linux, Mac OS) ignorieren Sie bitte die email Warnung.

Als kurze Erläuterung des "Code Red" können wir Ihnen das von Microsoft zur Verfügung gestellte Statement anbieten:

Microsoft reagiert auf die schnelle Verbreitung des Wurms CodeRedII und stellt ein Tool bereit, das den Schädling entfernen kann. CodeRedII verbreitet sich mittels eines anderen IP-Scanning-Algorithmus als beim Original noch schneller und installiert zudem eine Hintertür auf den betroffenen Servern. Diese kann nicht einfach dadurch entfernt werden, dass man die angelegten Dateien ("Explorer.exe", "Root.exe") löscht.

Das Microsoft-Programm entfernt nun die vom CodeRedII angelegten Dateien, startet das System neu, schaltet das Mapping für das Verzeichnis "/Scripts" oder "/MSADC" aus und bietet die Option, die Webserver-Software IIS komplett zu deaktivieren.

Allen CodeRed-Varianten gemeinsam ist, dass sie eine Sicherheitslücke in Microsofts Internet Information Server (IIS) ausnutzen, die mit einem seit Juni verfügbaren Patch geschlossen werden kann. Wer keinen Server betreibt oder den Patch aufgespielt hat, ist nicht gefährdet.

Mit freundlichen Gruessen

Ihr chello Helpdesk Team

-----------------------------------------------
Tel.: 96060 - 333 Gudrunstrasse 161
Fax: 96068 - 1960 A-1100 Wien
Email: support@chello.at
URL: http://subscriber.chello.at/support/

mfg
Eagle150

Hallo !

> Cannot open virtual roots key
> System File protection enabled
> Error opening IISAO - hr = 80040154

... kannst Du lesen ? ja ? dann haperts womoeglich an der Denkfaehigkeit ?

1. Suchfunktion benutzen (oben rechts)
2. Code Red ist ein Wurm, der den InternetInformationServer (also den WebServer von M$) befällt. Dies tut er jedoch nur, wenn nicht der aktuelle SecurityPatch installiert ist. Dieser Wurm scannt dann andere Systeme auf Port 80 (daran bist dann auch zu erkennen) und macht damit eine menge Lärm im Netz! Solltest Du keinen WebServer laufen haben, so kannst keinen CodeRed haben!

Gruß

El Dot.

sers El Dot

Also Webserver hab ich keinen laufen, vielleicht ab und zu mal einen FTP auf Port 21!

mfg
Eagle150

wenn du keine Portscanns auf port 80 machst, solltest du schnellstens bei chello urgieren, sonst drehens dich ab!

Gruß

El Dot.

Erklär' ihnen, dass Du den Patch eingespielt hast und sie Dich bitte kontaktieren mögen falls noch was auftritt. Mehr als das tun was sie Dir sagen kannst ned, und auf die Art können's Dir ned vorwerfen, Du hättest sie ignoriert. Versuch' sie davon zu überzeugen, dass Du alles Mögliche tust und man Dir bitte, bitte helfen möge. Weil wenn's der Meinung sind Du tust es nicht, drehen's Dir den Hahn zu. Ruf'n Techsupport an, schreib ihnen Mails, mach Dich wichtig. Auch wenn's nix hilft, zumindest zeigt's ihnen dass Du was tust und sie nicht einfach ignorierst.

Wennst eine FW "vor" Dir stehen hast, dreh Port 80 (own side, natürlich, sonst is' vorbei mit surfen

) einfach zu, sollt' das Problem an und für sich auch lösen. Was ned raus kann, kann ned raus.

ich würde mal meinen, dass chello preventiv jedem user so eine e-mail geschickt hat, auch wenn es da heisst von ihrem computer wurde....
abgesehen davon ist bei meiner 2000er installation IIS nicht automatisch mitinstalliert worden, zumindest ist es unter software hinzufügen noch wählbar und somit nehme ich an ist ISS nicht installiert, oder?

welche Installation hast du gewählt?
*)Minimum
*)Standard
*)Vollständig
*)Benutzerdefiniert
?

mfg
Eagle150

*TRÖT*

mhm... laut MS wird der IIS autom. mit installiert bei der Standardinstallation!
Könnte sein das du vielleicht eine etwas ältere oder ne ganz neue Win2k revision hast!
Oder MS weiß nicht mal was bei ihren Produkten mitinstalliert wird!

mfg
Eagle150

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung