Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties
Bron: C|Net

Na de uitbraak van negen maanden geleden lijkt de worm Code Red opnieuw toe te slaan, ditmaal onder de naam Code Red 2. Op het moment zijn er zo'n 18 duizend systemen ge´nfecteerd, waardoor we binnenkort waarschijnlijk weer enkele grote DDos-aanvallen kunnen verwachten. Het oorspronkelijke Code Red verspreidde zich langzaam, maar plotseling besmette deze opeens 350 duizend servers binnen in een dag. Code Red 2 vestigt zich in tegenstelling tot de eerste versie niet meer in het geheugen, waardoor rebooten van de machine geen nut heeft. Code Red 2 maakt nog steeds gebruik van een beveiligingsfout van Microsoft's IIS, wat kan worden verholpen door het installeren van deze beveiligingspatch.

Code Red 2 "Having that many compromised machines...They are just begging to be used in a attack. Online vandals, even those without much technical knowledge, could listen to the "noise" on the Internet, collecting a list of infected machines attempting to send data to their computers. Then attackers would use that list and send a simple command to each Code Red-infected computer, and the security-compromised system would do their bidding," said Alfred Huger, vice president of engineering at vulnerability information firm SecurityFocus

"Solving the problem is not easy. If we try to shut down the systems, when they are turned on, they will just start spreading the worm all over," said Dug Song, a hacker and security architect for network protection firm Arbor Networks.

Meer informatie over de Code Red 2-worm kun je op Caida, Symantec of Librenix lezen.

Moderatie-faq Wijzig weergave

Reacties (43)

ff vrage, dit is dus alleen gevaarlijk voor IIS servers?
apache heeft dus niks te vrezen :?
Alleen IIS. Apache heeft volgens mij de afgelopen drie (!) jaar geen ernstige security problemen gehad. In Unix worden vooral wrakke ftp/mail/rpc daemons misbruikt voor wormpjes.
sry zene, dit noem ik geen probleem meer van IIS of microsoft ... eerder een probleem van onwaardige systeembeheerders.
Cijfertjes...

http://www.dgl.com/itinfo/2001/it010723.html
The last serious security hole in the Apache webserver was reported and fixed in January 1997. Since then the only Apache security holes have been related denial of service (DoS) and unauthorized listing of filenames.
Meer is niet te vinden, maar volgens mij zegt dit ook genoeg..
Ab-so-luut waar. Unix dozen kunnen ook erg lek zijn, maar het is een feit dat IIS een onveiliger verleden heeft dan Apache. Helaas heb ik geen cijfers om het te bewijzen..
Zoek hier maar even in de history en ga op zoek naar cijfers van IIS/Apache mbt hoeveelheid servers.
Daar staat ergens ook in wat op een bepaald moment de hoeveelheid geinfecteerde servers ongveeer was.
die leipe systeembeheerders vormen het probleem bij dit soort 'virussen'. nog een reden naast de '34% lagere kosten' om voor linux bakken te kiezen.

volgens mij ontstaan dit soort problemen al meteen in het management. ik werk ook in de ict en die gasten laten zich van alles aansmeren daar zit de rest dan mee... ik wil niet alles over een kam scheren, maar volgens mij kunnen die gasten nog niet eens inloggen op een linux bak :)
Geez. Als je die patch nu NOG niet ge´nstalleerd hebt verdien je het bijna |:( de link hierboven is naar de roll-up, maar die patch bestaat al sinds begin vorig jaar... Mensen die op deze manier gehacked worden, moeten gewoon geen IIS draaien (a little knowledge is a dangerous thing, zeker bij MS producten). Neem dan Apache ;)

Wel geestig overigens dat ik regelmatig in mijn IIS logs mensen tegenkom die oude IIS vulnerabilities aan het proberen zijn, maar dat zijn vaak scriptkiddies met een vast (ADSL of kabel) IP die hun eigen compu's NIET gepatched hebben :*)

* 786562 PowerFlower
* PowerFlower wacht nog op een handige tool die "oog om oog, tand om tand" de attacks die op zijn servertje geprobeerd worden uit de logfiles leest en volautomatisch terugdoet
Lijkt me niet verstandig. Dan zou jouw servertje ook gebruikt kunnen worden in een Ddos attack. Gewoon een pakketje sturen met een vals ip source adres wat jouw servertje volgens gaat "aanvallen" ;(.

Wel zou je zoiets als CodeGreen los kunnen laten maar dat vond men te gevaarlijk ;)

http://www.tweakers.net/nieuws/18297
Idee, een ANTI-virus "Code-Green" die op dezelfde manier als Code-Red verspreid, alleen dan het besmette systeem geneest, en de security-patch installeerd.

Dat zou nog 's iets grappigs zijn, want dan hebbe de mense die WEL die patch ge´nstallerd hebben ook geen last van als die onnodige datatrafic van die &*$* mense die weer geen updates draaien.

Ik vind dit dus wel een HEEL GOED IDEE
* PowerFlower wacht nog op een handige tool die "oog om oog, tand om tand" de attacks die op zijn servertje geprobeerd worden uit de logfiles leest en volautomatisch terugdoet
Tooltjes zat hoor, maarja, heb je er echt zoveel moeite voor over om een script-kiddie te grazen te nemen??

Persoonlijk stop ik die tijd liever in andere nuttige dingen.... }>
Je zal ze de kost moeten geven die de patches ooit wel geinstalleerd hebben, maar later een re-install hebben moeten doen en geen tijd/zin/gelegenheid gehad hebben om bij WindowsUpdate alweer 100+ MB aan patches en service packs te downloaden...
Code Red ? Ja dat zou best wel kunnen. Want als mensen zich zelfs niet tegen het W32.Klez.* virus kunnen beschermen ?

Kijk eens hier: http://www.pine.nl/virusscan.php3

1 op de 46 mailtjes bevat het W32.Klez.h virus...
Jah... Ik word helemaal GEK van al die virus mails.

En ik wordt NOG gekker van de mensen die mij gaan mailen 'ja, je hebt een virus op je PC' omdat ze niet door hebben dat Klez de 'From' spoofed.
Ik heb mijn firewall afgericht om deze requests van code red en nimda, te negeren... Nu zien mijn logs van apache er wat netter uit...
OMX-Base:
Blokkeer je dan een bepaalde poort(range) of een bepaalde programmanaam?
OMX-Base blokkeert/mirrort waarschijnlijk met de mangle table(iptables met linux) bepaalde requests..

Dus als een request als "GET /hier/komt/een/virus" komt dan wordt hij geblokeert op packet niveau ipv poort of ipadres.
precies... ik gebruik ip-tables met linux, en je kunt dan ook op strings die in een pakketje zitten matchen... da's super handig voor dit soort onzin...
Na de uitbraak van negen maanden geleden
Dit is z'n jong. :+
And here we go again :) ...
Eens even kijken hoeveel mensen nu weer gruwelijk wakker geschud moeten worden om af en toe een update te draaien.
pas is ook exploit code gereleased voor het gat dat recentelijk gevonden was door eeye (of was t toch @stake) ennieweg er hoeft maar een persoon zo gek te zijn om hier (redelijk eenvoudig) een worm voor te schrijven en t verhaal begint weer opnieuw
Code Red II bestond trouwens al tijden, volgens mij. Eerste versies vulden mijn logfiles met GET /blabla/AAAAAAAAA en de tweede versie maakte daar /blabla/NNNNNNNNN van. Toch?

In ieder geval wordt er op mijn dial-up systeem zelfs nog haast dagelijks een 'aanval' uitgevoerd. *zucht*
Net even mijn log gecontroleerd.
Van de laatste 14 dagen zijn er 462 IIS hack attempts geweest waarvan 1 type code red is.
Voor de duidelijkheid ik host 1 pagina met 3 woorden en 1 plaatje voor GOT.

Internet is not a safe place...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True