Mainwave was de eerste die ons wees op deze toch wel opmerkelijke actie: breng de slachtoffers van de Code Red-worm op de hoogte van het feit dat hun server(s) geinfecteerd zijn met de worm. De worm, die afgelopen vrijdag en zaterdag zo'n 300.000 IIS webservers infecteerde, is tot staan gebracht omdat het uiteindelijke doel, alle geinfecteerde machines inzetten in een Distributed Denial Of Service (DDoS) aanval tegen de website van het Witte Huis, niet slaagde want de doelsite was in allerijl verplaatst naar een ander IP nummer. Verder speelde de code voor het genereren van de IP nummers van potentiële slachtoffers de worm parten: te vaak werden door nieuwe geinfiltreerde servers dezelfde, al aangevallen servers bestookt in plaats van nieuwe, nog niet aangevallen servers.
Omdat de geinfecteerde machines veelal nog niet gepatcht zijn, dreigt een volgende infiltratie door wormen die van de Code Red-worm zijn afgeleid en die van hetzelfde oude lek gebruik maken. Daarom is het zaak dat de niet gepatchte servers worden opgespoord en de sysadmins daarvan worden gewaarschuwd dat hun servers moeten worden gepatcht. Het detecteren van geinfecteerde servers is mogelijk door het napluizen van logfiles van willekeurige webservers. Bijna iedere webserver heeft vrijdag dan wel zaterdag een aantal aanvallen te verduren gehad van geinfecteerde machines. Die aanvallen zijn te achterhalen in de logfiles, het maakt niet uit welke webserver: Apache machines ontvingen net als veel IIS machines verschillende aanvallen.
As you have probably heard, the Code Red worm has infected over 300,000 machines running IIS. We need to identify the infected machines so that the owners of these machines can be notified so that they can be fixed. We are appealing to DShield submitters to do a special one time only submission for log entries that contains this information.
If you are sending your Code Red log extracts to redalert@dshield.org manually and are not using one of the clients, below, please include your log extract in the body of your email (not as an attachment), and format the message as plain text (not as HTML). Please put the format of the log as the subject line. i.e., APACHE, IIS, etc.
DShield.org heeft een klein programmaatje beschikbaar gesteld dat het gemakkelijk maakt om de aanvallen en daarbij de geinfecteerde machines op te sporen in logfiles met uiteenlopende formaten. Er is overigens al een 'Code Red 2' gesignaleerd met een beter algoritme voor het bepalen van IP nummers van potentiële slachtoffers.
Bedankt, Mainwave voor de tip!
:strip_icc():strip_exif()/u/25528/crop6262b474a9363_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/9392/stonericon.jpg?f=community){kind=small}
/u/12573/crop5919382827f9d_cropped.png?f=community){kind=small}
/u/4153/crop5eb7889ee6872_cropped.png?f=community){kind=small}
:strip_exif()/u/8111/bill60.gif?f=community){kind=small}