Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties
Bron: DShield

Mainwave was de eerste die ons wees op deze toch wel opmerkelijke actie: breng de slachtoffers van de Code Red-worm op de hoogte van het feit dat hun server(s) geinfecteerd zijn met de worm. De worm, die afgelopen vrijdag en zaterdag zo'n 300.000 IIS webservers infecteerde, is tot staan gebracht omdat het uiteindelijke doel, alle geinfecteerde machines inzetten in een Distributed Denial Of Service (DDoS) aanval tegen de website van het Witte Huis, niet slaagde want de doelsite was in allerijl verplaatst naar een ander IP nummer. Verder speelde de code voor het genereren van de IP nummers van potentiŽle slachtoffers de worm parten: te vaak werden door nieuwe geinfiltreerde servers dezelfde, al aangevallen servers bestookt in plaats van nieuwe, nog niet aangevallen servers.

Omdat de geinfecteerde machines veelal nog niet gepatcht zijn, dreigt een volgende infiltratie door wormen die van de Code Red-worm zijn afgeleid en die van hetzelfde oude lek gebruik maken. Daarom is het zaak dat de niet gepatchte servers worden opgespoord en de sysadmins daarvan worden gewaarschuwd dat hun servers moeten worden gepatcht. Het detecteren van geinfecteerde servers is mogelijk door het napluizen van logfiles van willekeurige webservers. Bijna iedere webserver heeft vrijdag dan wel zaterdag een aantal aanvallen te verduren gehad van geinfecteerde machines. Die aanvallen zijn te achterhalen in de logfiles, het maakt niet uit welke webserver: Apache machines ontvingen net als veel IIS machines verschillende aanvallen.

Code Red As you have probably heard, the Code Red worm has infected over 300,000 machines running IIS. We need to identify the infected machines so that the owners of these machines can be notified so that they can be fixed. We are appealing to DShield submitters to do a special one time only submission for log entries that contains this information.

If you are sending your Code Red log extracts to redalert@dshield.org manually and are not using one of the clients, below, please include your log extract in the body of your email (not as an attachment), and format the message as plain text (not as HTML). Please put the format of the log as the subject line. i.e., APACHE, IIS, etc.

DShield.org heeft een klein programmaatje beschikbaar gesteld dat het gemakkelijk maakt om de aanvallen en daarbij de geinfecteerde machines op te sporen in logfiles met uiteenlopende formaten. Er is overigens al een 'Code Red 2' gesignaleerd met een beter algoritme voor het bepalen van IP nummers van potentiŽle slachtoffers.

Bedankt, Mainwave voor de tip!

Moderatie-faq Wijzig weergave

Reacties (37)

Eh, die lui hoeven niet door mij geholpen worden, ze kunnen zichzelf helpen door de updates gewoon te installeren.

Daarnaast ben ik absoluut niet van plan om dshield.org een lijst te gaan verschaffen met hackbare webservers, want dat is wat je op deze manier doet.

Niet doen dus.

[edit]
http://www.dshield.org/privacy.html:
[quote]

Information collected using the DShield system will be made available to the public at no charge. Different reports may be compiled and the raw data will be searchable. We will try to hide destination IPs (i.e, who is being attacked.) Information can be submitted anonymously. You should not submit any information you consider business critical or proprietary.

[/quote]

[paranoia]
Hoezo 'we will try to' ? Die info kunnen ze er verdomd eenvoudig uithalen, waarom dit voorbehoud? Bestaat er de kans dat er straks een on-line searchable database is met hackbare servers?

Het bedrijf achter deze actie, http://euclidian.com zegt welliswaar de gegevens niet te verkopen, maar geven niet aan in hoeverre ze ze zelf zullen gebruiken voor commerciele doeleinden.

* 786562 hezik
* hezik denkt dat een lijst van hackbare servers voor een 'consulting' bedrijf erg interessant is.

ik denk dat je vergeten bent de [/paranoia] aan te zetten.

Hoewel ik een aardig eind met je meega, moet je niet vergeten, dat het om dshield.ORG gaat: het is een organisatie, zonder winstbejag (anders mogen ze niet die .ORG voeren). Als een commercieel bedrijf de gegevens zou gaan gebruiken, die binnenkomt bij Dshield, denk ik dat de pleuris toch knap uit gaat breken...
Ehm, dat was vroeger zo.. ik heb die gast even gamailed en dat consulting bedrijf waarvan de pagina is (euclidian) is gewoon van 'm zelf en commercieel. Hij beweerd de gegevens niet te zullen gebruiken maar geeft geen garanties daarover, evenals hij niet de garantie geeft dat hij geen on-line database met hackbare servers er van zal maken...
Lijkt me een goed initiatief om zoveel mogelijk logs bij elkaar te rapen: kan je mogelijk achterhalen waar het allemaal begonnen is.

Vind het een interessante worm, de verspeidings snelheid is echter beangstigend. Gelukkig maar dat hackers ook fouten maken.
an sich geen slecht idee, maar dit dient niet gedaan te worden door dnet.org maar door een overheid oid.

Deze worm defaced overigens de website, dus de meeste systeembeheerders weten inmiddels wel dat ze besmet zijn.
versie 1 van de worm defaced de website, maar versie 2 doet dat niet (naast een aantal andere veranderingen)
Het blijkt maar weer eens: patchen draaien doe je niet alleen voor jezelf. Maar ook voor derden die slachtoffer worden van attacks vanaf jouw machine.

Dshield was trouwens al langer actief op dit gebied.
Ze zijn niet specifiek na deze worm ontstaan.
Op hun site kan je trouwens checken of een van jouw ip's voorkomt in hun database van attackers.
Alleen een ding snap ik niet.

Als de makers van CodeRed zo slim waren om een worm te schrijven die zich in heel korte tijd zo enorm kon verspreiden (300.000 servers in iets meer als 1 dag), waarom gebruikten ze dan een IP-adres (198.137.240.91) als doelwit? Het wijzigen van een IP-adres is immers vrij simpel (en het aanpassen van het juiste DNS-record) om deze "aanval" ongedaan te maken.

Hadden ze de DNS-naam gebruikt (www.whitehouse.gov), dan was de aanval VEEL effectiever geweest, want dan had men de naam van de site moeten wijzigen. Alle andere sites die dan een link naar www.whitehouse.gov hadden zouden dan de weg naar het Witte Huis niet meer vinden...

Kortom: ik denk dat dit dus meer een (geslaagde) stunt is geweest om het security gat aan te tonen en niet zozeer een eenval op het WitteHuis.
Er is op bugtraq (security mailinglist) al het idee geopperd om een worm te schrijven die zichzelf op een IIS machine installeerd, een patch download, en dan machines gaat 'aanvallen' om de patch te verspreiden. Beetje dubieus, maar wel effectief.

Een virus dat wel infecteerd, maar ipv schade aanricht een medicijn is ... ;-)
Had trouwens een gerelateerd idee:

Wordt tijd voor een internet service die andere computers compleet gaat controleren op afscherming. Niet goed: emailtje naar sysadmin met links naar oplossingen.

Zou best goed geld mee te verdienen zijn als het fixen zo makkelijk mogelijk wordt gemaakt, denk ik zo.

Zoals security nu werkt met is niet goed: het vereist teveel menselijk handelen. Mensen (en organisaties al helemaal) zijn goed in fouten maken.
Er bestaat al software die bij computers in een netwerk controleert. Bijvoorbeeld door in de logfiles te kijken van de firewall, inhoud van packets, etc.. Is er iets aan de hand, krijgt de admin een warning.
Elke goede verdediging bestaat uit een aantal linies. Een beetje site bestaat uit een aantal zones die van buiten naar binnen steeds meer dichtgetimmerd zijn. In de buitenste draaien de webservers, daarachter applicatieservers en daarachter weer de bestaande systemen van een bedrijf. Binnen die zones kun je ook nog een intrusion detection system draaien dat zoekt naar 'verdachte' patronen van requests.
Hoe wil je dan betaalt gaan worden?? niemand die je betaalt als je het mailtje al verstuurt heb, die denken, mooi. bedankt. doei
Je zou het toch van te voren kunnen aankondigen bij zo'n bedrijf, zodat je een soort security abonnement kunt nemen. Lijkt me zeker een markt voor, zeker nu een hoop kleinere bedrijfjes, die niet of nauwelijks ervaring op het gebied van security hebben, toch 24/7 aan het internet hangen met een ADSL-lijntje of zo.
Simpel, adverteerders toe laten in het meeltje dat je stuurt
Als ik datgene doe wat er in die URL staat dat je moet doen, dan krijg ik te zien dat er van deze sites een Code Red request is geweest.....best wel veel dus..........
Actie voor hulp aan 'Code Red'-worm slachtoffers
welk gironummer is er nu weer open gesteld?
Wat je so-wie-so kunt doen is een mailtje terugsturen aan degene die je Code Red heeft toegezonden.
De twee mij onbekende dames die mij ermee hadden bestookt heb ik op de hoogte gebracht, en van de ene een net bedankje teruggekregen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True