So reagiert Cisco Secure IDS auf das Nimda-Virus

Download-Optionen

  • PDF     (88.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (84.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (68.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:19. Januar 2006
Dokument-ID:13871

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

In diesem Dokument wird erläutert, wie das Cisco Secure Intrusion Detection System (IDS) Angriffe durch den Nimda-Wurm (auch Concept-Virus genannt) erkennt und verhindert. Die komplexen technischen Arbeiten des Wurms gehen über den Rahmen dieses Bulletin hinaus und sind an anderer Stelle gut dokumentiert. Eine der besten technischen Beschreibungen des Nimda-Wurms finden Sie im CERT® Advisory CA-2001-26 Nimda-Wurm icon_popup_short.gif.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.

Hintergrundinformationen

Der Nimda-Wurm ist ein hybrider Wurm und Virus, der sich aggressiv im Internet ausbreitet. Um Nimda und die Möglichkeiten von Cisco IDS zur Eindämmung seiner Ausbreitung zu verstehen, müssen folgende Begriffe definiert werden:

  • Wurm bezieht sich auf bösartigen Code, der sich automatisch und ohne menschliches Eingreifen verbreitet.

  • Virus bezieht sich auf bösartigen Code, der sich über eine Art menschlicher Intervention verbreitet, z. B. wenn Sie eine E-Mail öffnen, eine infizierte Website durchsuchen oder eine infizierte Datei manuell ausführen.

Der Nimda-Wurm ist eigentlich eine Hybride, die Merkmale eines Wurms und eines Virus aufweist. Nimda infiziert sich auf verschiedene Weise, von denen die meisten menschliche Eingriffe erfordern. Cisco IDS Host Sensor blockiert Wurm-ähnliche Infektionsmethoden, die sich über Schwachstellen im Internet Information Server (IIS) von Microsoft verbreiten. Cisco IDS blockiert keine virusähnlichen, manuellen Infektionsmethoden, wie z. B. beim Öffnen einer E-Mail-Anlage, beim Durchsuchen einer infizierten Website oder beim manuellen Ausführen einer infizierten Datei.

Cisco IDS Host Sensor schützt vor Nimda

Cisco IDS Host Sensor verhindert Directory-Traversal-Angriffe, darunter auch die vom Nimda-Wurm verwendeten. Wenn der Wurm versucht, einen Cisco IDS-geschützten Webserver zu kompromittieren, schlägt der Angriff fehl und der Server ist nicht kompromittiert.

Diese Cisco IDS Host Sensor-Regeln verhindern den Erfolg des Nimda-Wurms:

  • IIS Directory Traversal (vier Regeln)

  • IIS Directory Traversal und Code Execution (vier Regeln)

  • IIS Double Hex Encoding Directory Traversal (vier Regeln)

Cisco IDS Host Sensor schützt auch vor nicht autorisierten Änderungen an Webinhalten, sodass der Wurm keine Webseiten verändern kann, um sich auf andere Server auszubreiten.

Cisco IDS befolgt Best Practices für Standardsicherheit zum Schutz von Webservern vor Nimda. Diese Best Practices schreiben vor, keine E-Mails zu lesen oder das Internet von einem Produktions-Webserver aus zu durchsuchen und keine Netzwerkfreigaben auf einem Server freizugeben. Cisco IDS Host Sensor verhindert, dass der Webserver durch HTTP- und IIS-Exploits kompromittiert wird. Die oben genannten Best Practices stellen sicher, dass der Nimda-Wurm nicht manuell auf dem Webserver ankommt.

Cisco IDS Network Sensor identifiziert Nimda

Cisco IDS Network Sensor identifiziert Angriffe auf Web-Anwendungen, darunter auch die vom Nimda-Wurm verwendeten. Der Netzwerksensor ist in der Lage, Angriffe zu identifizieren und Details über die betroffenen oder kompromittierten Hosts bereitzustellen, um die Nimda-Infektion zu isolieren.

Diese Cisco IDS Network Sensor-Alarme werden ausgelöst:

  • WWW WinNT cmd.exe-Zugriff (SigID 5081)

  • IIS CGI Double Decode (SigID 5124)

  • WWW IIS Unicode Attack (SigID 5114)

  • IIS Dot Execute Attack (SigID 3215)

  • IIS Dot Dot Crash Attack (SigID 3216)

Operatoren sehen keinen Alarm, der Nimda anhand des Namens identifiziert. Sie sehen eine Reihe von Alarmen, die als Nimda versucht, verschiedene Exploits zu kompromittieren, um das Ziel zu gefährden. Die Alarme identifizieren die Quelladresse von Hosts, die kompromittiert wurden und vom Netzwerk isoliert, gereinigt und gepatcht werden sollten.

Empfohlene Vorgehensweisen

Befolgen Sie diese Schritte, um sich vor dem Wurm Nimda zu schützen:

  1. Wenden Sie die neuesten Aktualisierungen für Microsoft Outlook, Outlook Express, Internet Explorer und IIS an, die von Microsoft icon_popup_short.gif verfügbar sind.

  2. Aktualisieren Sie Ihre Virenscanner-Software mit dem neuesten Patch, um die Ausbreitung des Virus zu verhindern.

    Hinweis: Sie können den neuesten Virenpatch herunterladen, um Ihren Computer vor einer Infektion zu schützen. Wenn Ihr PC bereits infiziert wurde, können Sie mit diesem Virenpatch die Festplatte Ihres PCs manuell scannen und die Infektion vom Computer entfernen.

  3. Bereitstellung von Cisco IDS zur Eindämmung von Bedrohungen, Eindämmung von Infektionen und zum Schutz der Server

Zugehörige Informationen

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.