Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 89 reacties
Bron: ZDNet

Code RedEen waarschijnlijk uit China afkomstige worm onder de naam Code Red heeft volgens de laatste berichten bijna 200.000 servers gehackt, waarna de tekst "Welcome to http://www.worm.com! Hacked by Chinese!" op het scherm verscheen bij internetters die de pagina's laadden. Er wordt gebruik gemaakt een bug in Microsoft's Internet Information Server, waarvoor overigens al wel een maand lang een patch beschikbaar is. Blijkbaar zijn echter niet alle systeembeheerders zo slim geweest om het gat te dichten, waaronder zelfs de persoon die de computers achter WindowsUpdate onderhoudt. Volgens CNET is bovendien ook de site van het Witte Huis al aangevallen, maar het verplaatsen van de site naar een ander IP-adres voorkwam grote problemen.

Eenmaal op een PC gevestigd, onderzocht de worm honderd IP-adressen van nabij gelegen computers, om te kijken of hier ook de mogelijkheid tot inbreken op aanwezig was. Op deze manier verspreidde het zich als een lopend vuurtje, waarbij overigens alleen Engelstalige versies van IIS gebruikt werden. Op de genoemde site worm.com werd vervolgens waarschijnlijk een lijst aangemaakt van alle gekraakte sites. Nu is de site uiteraard al uit de lucht gehaald, maar de mogelijk is groot dat de programmeurs van de worm allang een behoorlijke lijst in hun bezit hebben. Buiten dat, kan er nu nog steeds informatie ingewonnen worden over welke servers aangevallen zijn.

Het geval wil namelijk, dat de worm zo is opgebouwd dat computers in een bepaalde volgorde aangevallen worden. Op deze manier kan iedereen er achter komen, welke servers al slachtoffer zijn van Code Red. Het in de gaten houden van de aanvallen van buitenaf tegen een computer, geeft een uitgebreid overzicht van alle geïnfecteerde PC's. Aangezien de makers ook niet dom zullen zijn hebben zij vast en zeker op deze manier al een lijst met alle aangevallen computers in hun bezit gekregen, maar zelfs anderen kunnen dus ook zomaar aan deze gegevens komen, wat de chaos compleet maakt. Hierbij is het mogelijk, om complete zeggenschap over de systemen te krijgen, mits de IIS-patch nog niet geïnstalleerd is. Er wordt dan ook ten sterkste aangeraden, dat alle systeembeheerders dat nu meteen doen, aldus ZDNet:

VirussenKnown as the "Code Red" worm because of evidence that it may have been launched from China, the self-spreading program infects servers using unpatched versions of Microsoft's Internet Information Server software and defaces the Web sites hosted by the servers. The code is still being analyzed to see if it does any further damage. But the way the worm is written, it could allow online vandals to build a list of infected systems and later take control of them, said Marc Maiffret, chief hacking officer with eEye Digital Security.

[...]That's because each instance of the worm will attack the same computers in the same order, according to eEye's analysis. Maiffret said that while the addresses of the computers attacked by the worm seem to be random, because the worm uses the same starting point, or "seed," to generate the list, the "random" lists that any two worms generate are identical. Like identical genes, which produce a clone, identical seed numbers produce attack lists that are the same.

Met dank aan iedereen die ons op de hoogte stelde van deze gebeurtenis, een helaas te groot aantal bezoekers om bij naam te noemen.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (89)

Dit is heeft zeker gevolgen voor het image van Microsoft, zeker op het gebied van veiligheid. De gewone consument zal zeker gaan denken dat de schuld aan MS ligt.

Over luie systeembeheerders gesproken, kan jij het aan je baas verkopen, dat je bijna iedere week de server down moet nemen om een patch te installeren ? Als door het installeren van deze patch de server het helemaal begeeft, dan zijn de rapen helemaal gaar.

De situatie bij windows 2000 begint immiddels op path22 te lijken, waarbij de beheerders de patches niet bij kunnen houden. Hoewel het updaten van een webserver eigenlijk direct zou moeten gebeuren, kost het veel tijd om een patch te installeren.

Als ik een programma aan het updaten ben, moet er eerst een applicatie image gemaakt worden, dan moet het hele handeltje getest worden, voordat de update over het netwerk gedistributeerd wordt.
Over luie systeembeheerders gesproken, kan jij het aan je baas verkopen, dat je bijna iedere week de server down moet nemen om een patch te installeren ? Als door het installeren van deze patch de server het helemaal begeeft, dan zijn de rapen helemaal gaar.
Euhm ja! Wat wil dan liever dat je server gehacked wordt? Dat is helemaal moeilijk te verkopen aan je baas. Een wekelijkse reboot na werktijd lijkt me geen probleem.

[quote] Dit is heeft zeker gevolgen voor het image van Microsoft, zeker op het gebied van veiligheid. De gewone consument zal zeker gaan denken dat de schuld aan MS ligt. [/quote

No offence maar ik denk dat de meeste mensen nu zoiets hebben van: goh, alweer..
Euhm ja! Wat wil dan liever dat je server gehacked wordt? Dat is helemaal moeilijk te verkopen aan je baas. Een wekelijkse reboot na werktijd lijkt me geen probleem.
Soms is het een beetje lastig kiezen tussen veiligheid en functionaliteit. Herinner je je nog de drie pogingen die MS nodig had voor een patch op Exchange? Als jij als beheerder zonder er bij na te denken zo'n patch installeert dan zal je baas sowieso niet blij zijn omdat er dan helemaal niets meer werkt.

Dit probleem hebben meer mensen. Je moet nu eenmaal tijd hebben om te testen...
Gooi je toch alle mappings (.ida.idc.idq) weg uit je IIS manager. Wat er niet is kan tenslotte ook niet stuk en wie gebruikt het nou.
Als je je doos niet goed inricht en alle features aanzet moet je vaak patchen ja, als je gewoon alles uitzet wat je niet gebruikt en alles goed dicht zet is dat al veel minder.
Een wekelijkse reboot na werktijd lijkt me geen probleem.
De patch en de worm hebben betrekking op IIS, de webserver dus.. in het algemeen hebben die werktijden van 0:00 tot 23:59...
Tel daar bij op dat je de meeste servers niet ff reboot, maar dat die dingen daar echt ff tijd voor nidug hebben...
Hmz als er al patches voor beschikbaar zijn sinds 1 maand, waarom was explorer.msn.com dan gisteren OOK niet bereikbaar, met deze symptomen ?!?? |:(
Blijkbaar installeert Microsoft haar eigen updates niet.
Ook de WindowsUpdate site is slachtoffer geweest, zie:

http://www.wss.net/winupd.jpg

Verder heeft het wormpje op mijn webservertje achter een ADSL-Link(die gelukkig geen IIS draait) in 12 uur 24 keer geprobeerd om binnen te komen...
Vandaar dat me blackice vol stond van de http port probes jezus..

En dus echt overal vandaan, had trouwens ook problemen met blackice daarmee.. dus heb het meet ge-de-installeerd omdat ie soms de compu rebootte.
Ik begreep dat de buffer overflow bug waarvan deze worm gebruik maakt al een jaar bekend was.
Bijverschijnselen van deze worm zijn crashende routers en verstopte netwerkverbindingen, en blijkbaar kan ook Linux last hebben van de buffer overflow.
Zodoende kan iedere site hier last van hebben gehad, ook al was die niet geinfecteerd.

Patchen, ja natuurlijk had iedereen inclusief MS dat al lang moeten doen. Aan de andere kant is het bijhouden en installeren van MS patches ongeveer een dagtaak op zich. Ik zag laatst een lijst met hot fixes voor win2k -sinds SP2-, ik heb ze niet geteld maar het zijn er vele, vele tientallen.
Voor NT schijnen er ruim 200 patches te zijn sinds het laatste SP.
en blijkbaar kan ook Linux last hebben van de buffer overflow.
Dat lijkt me nogal onzin hoor. Dit is een IIS worm, die weinig met Linux (Of elke andere UNIX) kan beginnen.
Omdat het lijkt dat M$ niet zelf test, maar de gebruikers voor hun laat testen, vandaar dat ze nog problemen met hun eigen servers kunnen hebben gehad :)
We kregen een mailtje van onze hosting-provider waarin ze meldden dat ze wel degelijk de patches geinstalleerd hadden, maar dat deze installatie weer ongedaan gemaakt was door een latere software-update.
uh, omdat daar ook sukkels zitten? Heb een paar van de gekwetste servereigenaren benadert. De meesten wisten niet eens waar ik het over had. Patches? uh?
Zoals hierboven in het artikel al vermeld is
Niels Tijssen:
Over luie systeembeheerders gesproken, kan jij het aan je baas verkopen, dat je bijna iedere week de server down moet nemen om een patch te installeren ?
Je hoeft heus niet je hele server te rebooten voor een IIS patch hoor. Even de service restarten is voldoende. Tien seconden lang geen website helaas.
Alleen voor servicepacks moet je rebooten maar die komen dan ook niet zo vaak.
Om nog maar te zwijgen van wat je tegen je baas moet zeggen als de server plat ligt vanwege een 'hack'... Of misschien is dit nu juist een mooie gelegenheid om te zeggen "als ik dat niet doe dan gebeurd er dat dus..."
Tja, de praktijk is toch echt dat je wel moet rebooten.. ik heb vandaag die patch op 3 machines geinstalleerd. Onlangs ook al 2 patches. Je komt toch echt niet onder het rebooten uit. Je kunt alleen OK klikken, en als je te lang wacht, dan reboot hij gewoon uit zichzelf.
Ze hebben het hotfix systeem verandert waardoor dit dus niet zo meer is bij alle hotfixes. Dat geldt vanaf mei zo ongeveer maar ik dacht dat ze de oude gingen bijwerken. Dit was niet voor NT4 meen ik
doelloos echt doelloos...

* 786562 4play
Doelloos zou ik het niet noemen.

Als het doel is geweest om zoveel mogelijk chaos te veroorzaken, is dat goed gelukt.

Uiteraard ben je dan wel behoorlijk ziek in je hoofd...
> Uiteraard ben je dan wel behoorlijk ziek in je hoofd...
Sorry, maar ik vind dit nergens op slaan. Denk je echt dat de betreffende maker van deze worm heeft gedacht, goh, wat zou het humor zijn als ik enorm veel schade aan zou richten? Oke, het zou kunnen, maar ik vind deze worm uiterst leerzaam, een lesje voor degenen die te lui zijn security patches te installeren, en een aanleiding voor de experts om zich over dit probleem te buigen om het in de toekomst te kunnen voorkomen. Bij ontwikkeling van een dermate groot netwerk als internet hoort gewoon het 'vallen' om de zwakheden eruit te halen. Ik vind dit noodzakelijk. Beter dat zulke dingen nu naar voren komen dan tijdens een wereldoorlog waarbij Irak 'effe' de economie van Amerika om zeep helpt.
Leerzaam ? mocht iemand in jouw huis inbreken en en van alles jatten, zeg je dan ook achteraf: "jammer, maar het is wel leerzaam want ik ga mijn toko nu nog beter beveiligen"

En ja, onder bepaalde zieke geesten bestaat ook zieke humor.
dus als jij iemand zonder helm op straat ziet lopen ram je er ook met een knuppel op. Zo maar in het kader van 'had ie zich maar moeten beschermen'.
Ja, maar als in de rest van de straat al is ingebroken en bij jou nog niet ben je wel gek om je huis niet wat beter te beveiligen. Dit is nl. al het zoveelste virus dat aantoont dat mensen niet op tijd hun security-patches installeren. Meest kwalijke is nog wel dat 't zelfs voor de WindowsUpdate-site geldt. Die zou eigenlijk per definitie alle security-patches er op moeten hebben staan. Hoe kun je er anders op vertrouwen dat een door jou gedownloade patch wel echt de security-patch is die wordt beweerdt dat 't is?

* 786562 Jit
Leerzaam leerzaam...
Hoe lang kunnen dit soort mensen nog doorgaan met 't excuus van "Ik wou de wereld waarschuwen".
Op een gegeven moment is 't wel genoeg hoor.
inbreken? als je de deur open laat staan??
Ja, dat is inbreken en daarvoor krijg je net zoveel straf. Je mag een fiets die niet op slot staat ook niet stelen. Het is asociaal om dat wel te doen. Maargoed, we zijn in deze maatschappij allang uit het oog verloren wat normaal is...
Als je de deur open laat staan is het insluiping (je "breekt" immers nix) en daarop staat volgens mij een lagere straf.
Nee, dan is het helemaal niet geslaagd. Als er in plaats van 100 connecties zo'n 50 werden geprobeerd en in een iets lager tempo zodat het aan het verkeer niet al te hard te merken was dat er een infectie was was het pas leuk geworden (moet je natuurlijk ook geen sites gaan defacen).
Dan was de hele infectie namelijk grotendeels ongemerkt voorbij gegaan, totdat alles in een keer actief werd. En dan moet je nog even zorgen dat het versturen van pakketjes naar het uiteindelijke slachtoffer gebeurd zonder dat er van tevoren een connectie wordt opgebouwd en dan is het pas echt erg. Nu verdwijnt verkeer naar www.whitehouse.gov in een blackhole en wordt er dus nooit een verbinding opgebouwd en dus wordt de echt grote aanval niet gelanceerd.

Al met al lijkt het qua impact behoorlijk op ILOVEYOU. Slim concept, maar om maximale schde aan te richten hadden er een paar kleine dingen gewijzigd moeten worden.

* 786562 Yoshi
Ik vind het maken van virussen verwerpelijk vooral als deze blijvende schade aanrichten. Toch is dit een goede aktie om de druk op de ketel te houden en te laten zien dat er nog heel wat valt te leren en te beveiligen op dat internet en je erg moet oppassen met het gebruik ervan want het schijn elke keer weer vrij eenvoudig te zijn om in te breken op en beschikkingte krijgen op gevoelige gegevens.

Dit houdt de mensen alert zullen we maar zeggen.
Het stomme is dat men hier een beetje het punt mist.

Men zegt dat het een wijze les is voor systeembeheerders, want zo leren ze de laatste securitypatches te installeren.
Echter, deze 'wakkerschudder' is alleen behulpzaam als deze ook echt alleen maar wakkerschud, en NIET, zoals deze worm, meteen allemaal sites platlegt en zo een enorme economische schade aanricht.

Virussen zijn dus goed omdat ze aanvallen van virussen tegenhouden? :? Als iedereen nou eens ophoudt met het maken van die dingen slaat die regel sowieso nergens meer op...
Luie Systeembeheerders laten zien wat de gevolgen zijn als ze hun al zo vulnerable IIS server niet updaten?

Dit is zeker NIET doelloos

Edit: Troll?!
Luie Systeembeheerders laten zien wat de gevolgen zijn als ze hun al zo vulnerable IIS server niet updaten?

Lui? hoe vaak zijn er in het verleden al "updates" uitgebracht, die vervolgens meer problemen veroorzaakten dan ze oplosten? Veel systeembeheerders plempen niet zomaar een update op hun servers, maar gaan die eerst testen...
Helemaal mee eens.
Kijk, als je een webserver hebt draaien met enkel een paar simpele html pagina's erop, dan is het niet zo moeilijk. Maar als er complete applicaties met database koppelingen etc. op draaien, dan denk je wel drie x na, voordat je 'ff' zo'n patch erop gooit. Want als er iets fout gaat, dan heb je geluk als je er direct achter komt. Dan heb je namelijk i.i.g. nog een recente goed werkende backup.
Dus geen enkele systeembeheerder zit op 'wéér zo'n patch' te wachten...
En over dat testen doe je een maand ?
Voor deze bug is al ruim een maand een patch beschikbaar.

<edit>
Jippie, een -1 flamebait
</edit>
Als het doel was geweest systeembeheerders te waarschuwen had het volgens mij netter geweest om gewoon de systeembeheerders te mailen dat het tijd is dat ze de patch draaien.

Ik :r van dit soort geintjes. Zodra je als 'hacker' onder het mom van 'waarschuwen' sites gaat aanpassen, vind ik je gewoon zwaar lame. Als ik als 'goeie inbreker' huizen langs zou gaan om te kijken of er makkelijk in te breken is, zou het ook niet gewaardeert worden als ik een briefje op de deuren zou hangen 'dat ze een beter slot moeten kopen'.

En al helemaal lame vind ik het dat er ook nog eens een lijst wordt bijgehouden van welke die patch nog niet gedraait heeft.

Tuurlijk is het niet goed te praten dat de servers niet gepatched zijn. Dat lijkt me toch wel 1 van de belangrijke taken van een systeembeheerder. Maar om dat als excuus te gebruiken... lame... anders kan ik het gewoon niet noemen.
"...netter geweest om gewoon de systeembeheerders te mailen dat het tijd is dat ze de patch draaien."

maar ze wisten het al, en ze hebben niet gepatched.
IK ben het hier helemaal mee eens. Je kunt je zo op een mailing lijst laten zetten waar dit soort meldingen worden gedaan over patches. Dus als je naar 1 maand nog steeds gehacked wordt dan is het volgens mij eigen schuldt dikke bult. Een gewaarschuwd mens telt voor 2. En sowieso als je iets van miscrofoft draait weet je dat je een verhoogd risico loopt op ellende sad but true.

Dus patchen of gepatcht worden.
Ik hoop dat dit soort hacks de software leveranciers tot nadenken stemt en zorgen dan hun software safe is en blijft. Zou jij willen dat de bank zijn software zo slecht bijhoudt dat ze je bankrekening kunnen pluderen of een online shop waar men je creditcard gegevens kan ophalen door een simple hack.

IK gok van niet daarom keur ik het goed zolang het is om te bewijzen dat de security zo slecht is dat ze de site zo kunnen overnemen en er mee doen wat ze willen. Security zou priority 1 moeten zijn als je een website draait je image hangt aan eenzijden draaidje en de gegevens van je klanten ook als je dit soort security leaks niet in de gaten houdt. Sowieso loop je al een groot risico als je M$ software draait dus weet je wat je te doen staat als je het instaleert.
Mischien maakt dit artikel van webwereld iets meer duidelijk waarom security zo belangerijk is. http://www.webwereld.nl/nav/nb?8015
Ja en dus is het maar goed te praten.
Jij laat je deur open staan, dus is het goed te praten dat er ingebroken mag worden |:(

Tuurlijk "vraag" je er om als je je patches niet bijhoudt, maar dat geeft _niemand_ het recht om jou server maar te hacken dan. 't Is gewoon bullsh*t om het dan maar goed te keuren, "omdat er al een maand een patch voor is". Waar ligt de grens dan? Als er 1 week een patch voor is, is het nog te snel, maar vanaf 10 werkdagen nadat de patch uit is, mag je hacken :?
Prima, maar ik zou het toch waarderen als de schijnheilige houding van sommige lui van "ik help de wereld" naar een wat eerlijkere "ik heb niks beters te doen en ik wil graag laten zien dat ik beter ben dan systeembeheer x" zou verschuiven.
Welke idioot zit die post van Omega nou weer als troll te bestempelen? Hij heeft IMO 100% gelijk, niks troll!!
Ik vind van niet.
Het zijn misschien luie systeembeheerders... Ala... Daar hebbie gelijk in. Maar het feit blijft dat het maken van een defacer, deze in een worm te zetten en dan de complete wereld op stelten zetten om te "laten zien dat nog steeds niet iedereen zijn patches installeerd", een beetje ver gaat. Een beetje TE ver! Ik kan me er op sommige momenten gewoon boos om maken, dat zulke zieke zielen rond lopen die complete sites plat te leggen wat voor sommige bedrijven simpelweg inkomsten scheelt.

Het is zinloos, doelloos en onaanvaartbaar. Niks "Ik wil laten zien dat...". Nee de maker is gewoon een lullo die niet weet wat ie met z'n leven wil doen en zwaar gefrustreerd is.
We kunnen dan natuurlijk ook laten zien dat DoS attacks nog steeds mogelijk zijn, en internet met alle tweakers van heel de wereld plat leggen, leuke stunt, maar volgens mij vergeet je dan 1 ding:

Internet moet LAAG drempelig zijn, het is geen elite groep meer, het zijn gewoon allerdaagse mensen die proberen informatie aan je aan te bieden, als je vind dat je daar niet van gediend bent, sluit dan je internetaansluiting af, maar ga niet alles wat je niet bevalt dichtgooien. Ik zou het leuk vinden als mijn buurman een webserver zou draaien, en ook al is die server niet waterdicht, dan nog is dat geen reden om hem plat te gooien, ik vind het allang leuk dat dat soort mensen het ook proberen.

* 786562 TheGhostInc
Als je iets nuttigs te melden hebt ivm de Code Red worm:

http://gathering.tweakers.net/showtopic.php/188112
Op bugtraq is vandaag een hele discussie geweest over de Code Red worm, en omdat bovenstaande stukje niet helemaal correct is zal ik even het een en ander samenvatten:

- Zodra de worm een computer geinfecteerd heeft start het 100 threads op. Al deze threads gaan random ip-adressen genereren (helaas starten ze met een vaste random seed, dus elke gehackte PC zal in de zelfde volgorde ip's genereren) en proberen deze aan te vallen
- Op dagen 1 t/m 21 van de maand zal de worm proberen machines te infecteren
- Op dagen 20 t/m 28 gaat de worm ip-packets (VEEL!) naar www.whitehouse.gov sturen. Helaas, de programmeur was niet zo slim en heeft het ip-adres van www.whitehouse.gov hardgecodeerd, dus door de systeembeheerders daar is gewoon het ip van de machine verandert (198.137.240.91
-> 198.137.240.92)
- Tijdens de rest van de maand slaapt hij, op dag 1 gaat hij weer verder met infecteren.

Nu kan je natuurlijk microsoft aankijken als Big Bad Guy, maar die hadden een maand geleden al een patch voor de ida/idq bug (deze werd door de worm ge-exploit). Het bleek echter dat syadmins niet updaten, en dat is geen windows probleem. Een andere worm viel een tijd geleden solaris machines aan die een bepaalde (onveilige) versie van bind draaiden.

Er was trouwens iemand die opperde om een White-Hat worm te schrijven: een worm die precies hetzelfde doet als deze, maar in plaats van www.whitehouse.gov aan te vallen download hij de patch en installeert hij 'm. Hier zitten natuurlijk wel wat ethische problemen aan ... :)
Mij schiet iets te binnen....vooral bij webservers wel zo handig:
"voorkomen is beter dan genezen"
Ze hadden een maand om te voorkomen dat zoiets ging gebeuren, waarom deden ze er dan niets aan? Sja...
Installeer jij elke patch die uitkomt dan?

Er zijn genoeg systeembeheerders die er de tijd niet voor hebben om dit te installeren.

Bovendien kan een patch niet alleen een oplossing geven, maar misschien ook onvoorziene problemen waardoor andere applicaties soms niet meer correct werken.

Ik denk dat dit een reden is waarom een systeem beheerder niet gelijk klakkeloos een patch installeerd.
Dat is simpel te zeggen.
De meeste bedrijven hebben net genoeg IT personeel om achter de feiten aan te kunnen lopen en dus geen tijd om te patchen.

oke erg stom voorkomen is immers beter dan genezen ;) maar meestal kan het niet anders
Op Cnet las ik, zoals in het artikel ook staat ook nog dat het de bedoeling was met al de geinfecteerde servers www.whitehouse.gov te dDoS'sen. Uit voorzorg is whitehouse.gov naar een ander ip verplaatst:
However, administrators for Whitehouse.gov apparently moved the site to an alternate address. In addition, a flaw in the worm's design caused the tactic to fool the program into sending a much-reduced amount of data
Huh... Dat heeft volgens mij alleen nut als ze op IP-niveau aanvallen, lijkt mij.
Als het ip middels een DNS-lookup wordt gedaan, dan hebben ze zo het nieuwe IP ook.
Het nut van deze aktie ontgaat mij even.

Of ze gaan ervanuit dat de DNS-servers nog niet ge-update zijn. Maar dat heeft als bij-effect dat niet iedereen, zoniet de meeste, de site niet kan bekijken. Dus alsnog een half-geslaagde DoS :D
Het ip nummer is in de code hard ingebakken. stom wellicht van de maker.

Net zo zoals de vaste volgorde waarin ip nummers gescanned worden de verspreiding beperkt ook een "bugje"
Dit grijpt echt supersnel om zich heen, de paar apache server die ik beheer zijn de hele nacht (en nu nog steeds) behoorlijk lastig gevallen door gehackte NT bakken, allemaal van die default.ida shit in m'n logs...

zie trouwens de CERT site om te zien hoe je het kan herkennen...
http://www.cert.org/advisories/CA-2001-19.html
Hij scant alleen om te kijken of er IIS op draait. Apache is dus niet vunerable!!! Maar je ziet het uiteraart wel in je logs opduiken.
Tuurlijk is Apache NIET gevoelig voor een IIS bug
Ik zie hier veel onenigheid over het wel en niet leerzaam zijn.

Ik vind eigenlijk beide, je kunt hier van leren dat je altijd het ergste moet verwachten en dus overal op voorbereid zijn.

Maar ook weer niet, want er was al een patch dus was het probleem al opgelost en de manier waarop deze lui werken is niet echt vriendelijk.
Deze lui hebben namelijk wel gegevens gestolen, hetzelfde dus als iemands huis leeg halen, en dan een papiertje op de deur hangen met daarop:
Welkom bij Dief inc. uw huis is leeggehaald.
En nog even iets puur voor degenen die echt geinteresseerd zijn. Hier kun je een analyse vinden over de verspreiding van de worm, inclusief een animatie

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True