Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 72 reacties
Bron: ZDNet UK

Www.thescogroup.com is de nieuwe tijdelijke URL die SCO in het leven heeft geroepen als reactie op de massale Distributed Denial of Service (DDoS) aanval die het Unix-bedrijf als gevolg van het MyDoom.A virus momenteel treft, zo is te lezen op ZDNet UK. Hiermee stelt het bedrijf internetters in staat hun site te bereiken ondanks dat hun reguliere URL, www.sco.com onbereikbaar is. Sinds gisteren de aanval van MyDoom op sco.com is gestart is de site van SCO volledig onbereikbaar.

Sco siteSecurity experts zijn onaangenaam verrast door de enorme impact die de aanval van MyDoom heeft veroorzaakt. Volgens de directeur van Trend Micro is dit een nieuwe vorm van elektronische oorlogsvoering waar echter geen sprake is van terrorisme, maar alleen van iemand die waarschijnlijk boos is over de acties van SCO het afgelopen jaar. Vanaf morgen zal Microsoft ook aangevallen worden door MyDoom. De verwachting is echter dat Microsoft.com deze aanval zal kunnen weerstaan omdat dit een van de meest stabiele sites op het internet is en de MyDoom.B-variant veel minder is verspreid dan MyDoom.A.

Moderatie-faq Wijzig weergave

Reacties (72)

<conspiracy mode>Komt SCO wel weer heel goed uit deze ddos, lekker veel media aandacht dus een stijgend aandeel.....</conspiracy mode>
sco.com , zonder de www. werkt gewoon. Dit stond er een aantal dagen geleden ook al op.

Waar ik benieuwd naar ben is hoeveel mbit / gbit op sco.com is afgevuurd. Gezien de omvang van het virus kan dit wel eens héél véél zijn, een aantal gigabit/s zou me niet verbazen.
Dat is niet bekend, want SCO heeft de site vrij snel uit de DNS gehaald. Veel informatiever dan ZDNet:

http://news.netcraft.com/

Ik vraag me af of ZDNet zich niet teveel door de FUD van SCO laat leiden, onderbouwing van de 'vreselijke aanval' kan ik nergens vinden, terwijl Netcraft rapporteert dat de rest van het Internet er absoluut niet onder te lijden heeft.
Als je naar die stats van Netcraft kijkt, valt het jullie dan ook op dat sco.com en <a href="http://www.scogroup.com" target="_blank">www.scogroup.com</a> op Linux draaien?! Alleen bij www2.sco.com staat een vermelding van SCO UNIX 8-)

* 786562 PowerFlower
Wat me verder nogal opviel, is dat ze op hun voorpagina een berichtje hebben dat MS de update voor IE heeft uitgebracht om URL spoofing tegen te gaan. Die patch zorgt ervoor dat URLs met een @ niet meer toegestaan zijn. En op welke pagina hebben ze vervolgens de stats van de MyDoom attack neergezet? Juist ja, op http://uptime.netcraft.com/perf/reports/sco-alert@netcraft.com :Z
men schat dat er +- 1 miljoen besmette computers zijn die iedere seconde 8 packages sturen
1x10^6 x 32 / 1024^2 = +- 30 gB dus die blijft nog wel even plat
verder M$ als volgende slachtoffer.. ik betwijfel of ze het overleven :P

wat ik niet snap is dat mydoom.a een backdoor heeft.. wat belet de programmeur om de packages te directen naar een ander address? kwestie van andere command op te geven & go ahead :)
Om die backdoor te kunnen gebruiken om de instellingen te veranderen moet hij wel alle geinfecteerde PC's terugvinden, en ik denk dat dat hem alleen met een mydoom.c zou lukken ;)
www.sco.com is uit de DNS gehaald dus daar zullen geen stats meer van te vinden zijn, de lookup faalt al en het levert dus als het goed is geen enkele traffic op naast die lookups.

Best jammer dat ze geen verwijzing naar 127.0.0.1 ingevoerd hebben, was een aardige manier geweest om besmette computers alleen nog zichzelf gek te laten maken :P
Best jammer dat ze geen verwijzing naar 127.0.0.1 ingevoerd hebben, was een aardige manier geweest om besmette computers alleen nog zichzelf gek te laten maken
Dit was een leuk idee geweest, ware er geen IP spoofing geweest.

Wanneer je een DoS attack verstuurt, zorg je ervoor dat als source ip address in ieder pakket steeds een fake ip nummer staat. Anders krijg je zelf ook een zooi replies terug.
Dit heeft toch niets met IP spoofing te maken? Als je het domein www.sco.com dmv de DNS laat verwijzen naar 127.0.0.1 zal het virus packets versturen naar de host waarop hij actief is. Of het source Ip nu gespoofed is of niet, dat maakt niet uit.
Best jammer dat ze geen verwijzing naar 127.0.0.1 ingevoerd hebben, was een aardige manier geweest om besmette computers alleen nog zichzelf gek te laten maken
Dit was een leuk idee geweest, ware er geen IP spoofing geweest.

Wanneer je een DoS attack verstuurt, zorg je ervoor dat als source ip address in ieder pakket steeds een fake ip nummer staat. Anders krijg je zelf ook een zooi replies terug.


Sorry, het is niet een geavanceerde Dos aanval, maar een simpele grootschalige DDOS (distributed...) aanval.

In plaats van vervelende pakketjes sturen sturen ze er gewoon heel veel. En omdat dat over heel veel PC's gaat is er gewoon niet tegen te beginnen. Niks geen ip spoofing nodig. (dat werkt ook vaak niet aangezien ze bij de ISP horen te worden weggefilterd.).

Dat staat ook niet in de omschrijving van het virus:
http://vil.nai.com/vil/content/v_100983.htm
Sorry, het is niet een geavanceerde Dos aanval, maar een simpele grootschalige DDOS (distributed...) aanval.

In plaats van vervelende pakketjes sturen sturen ze er gewoon heel veel. En omdat dat over heel veel PC's gaat is er gewoon niet tegen te beginnen.
Ja, en waar sturen ze die dan heen, als het dns-record naar 127.0.0.1 verwijst? Juist ja, naar zichzelf...
Daarmee hebben ze dus alleen de geinfecteerde pc's, en zo komen de pakketjes dus nooit op het internet terecht, behalve dan de dns-lookups.

Aangezien de dns-lookup faalt weten al die geinfecteerde mensen nog niet dat er iets mis is. Als al die pc's zichzelf gingen DOSsen, dan merkte de geinfecteerde er tenminste nog wat van en namen ze (hopelijk permanente) maatregelen :)
En nu is het een kwestie van tijd voor MyDoom.C eraankomt en zijn pijlen richt op www.thescogroup.com
[evil me]Ik stel voor dat we alvast een hoop domeinnamen kapen met sco erin en dan aan sco verkopen zodra mydoom.c uitkomt[/evil me]

Ik vraag me overigens serieus af hoeveel mensen het virus expres hebben opgelopen of niet verwijderd hebben. SCO heeft een hoop kwaad bloed gezet bij een hoop mensen!
SCO heeft een hoop kwaad bloed gezet bij een hoop mensen!
Ja, maar dat zijn voornamelijk linux gebruikers. En die hebben geen last van Windows virusjes...
als je zo'n virus maakt, moet je het ook goed doen, eentje die automstisch een lijst met url's bijwerkt en doorstuurd en natuurlijk ook een planning download voor de volgende aanval
Het virus is ook redelijk goed, als de aanval stopt (op 12 februari geloof ik) dan blijft de backdoor gewoon bestaan en kunnen 1 miljoen PC's gewoon nog eens gebruikt worden :)
het is wel even leuk SCO uit de lucht, maar het doet de linux zaak echt geen goed.

het geschil dat SCO heeft met linux moet in de rechtbank worden uitgevochten en niet via virussen.
maar nee, gewoon op dezelfde manier MyDoom.A patchen naar een andere website
dat is wat er staat, voor als je het niet doorhad :+
Ik moet eerlijk zeggen dat de schrijver van myDoom.c wel een beetje een prutser is. Als je een beetje verstand heb van netwerken zorg je ervoor dat de hele IP-range van SCO niet meer bereikbaar is en niet alleen het www adres?!? Neem aan dat een IP-range van een bedrijf moeilijker te switchen zijn dan DNS naampjes.
Ze hebben het wel quik en dirty gedaan, het linkje op de theSCOworkgroup pagina by DOWNLOAD etc verwijst nog naar www.sco.com. Overigens de hele onderstaande balk op die site. Wat minder netjes dan.
Je hebt helemaal gelijk, de images en javascripts onderaan en op achterliggende pagina's verwijzen ook nog naar www.sco.com, dus zo schiet het niet echt op... getuigt naar mijn mening van weinig creativiteit van een firma als SCO
Geen onverwachte actie. Maar aangezien google (nog) naar sco.com verwijst niet heel erg effectief voor mensen die op zoek zijn naar info op de site; thescogroup.com type je niet zomaar in als je sco wilt hebben.

Verder heb ik nu niet het gevoel dat hun CMS zo goed is; vele links op thescogroup.com gaan nog naar sco.com of een van de sites daaronder; inclusief de search knop onderaan...

edit:
Hmm, zoals C7RL hierboven net een minuutje eerder al zegt :>
vele links op thescogroup.com gaan nog naar sco.com of een van de sites daaronder
Inderdaad, klik maar eens bij www.thescogroup.com op "Home" :Y)
www.sco.com is uit de DNS gehaald dus daar zullen geen stats meer van te vinden zijn, de lookup faalt al en het levert dus als het goed is geen enkele traffic op naast die lookups.
Hoe weet je dat zo zeker? Als je webserver gewoon onbereikbaar is, bijvoorbeeld door een DDoS-attack, dan krijg je ook geen resultaten hoor... |:(
Omdat de DNS een publieke service is kun je dit gewoon opvragen met commando's als nslookup, dig of host.

> host www.sco.com
www.sco.com does not exist (Authoritative answer)
Ga eens met je muis over dat tekstje links bij het plaatje met die ibook... 'an altenate website', dan staat er:

'one step ahead of the virus', volgens mij is dit een alternatief die redelijk laat kwam ;)
Security experts zijn onaangenaam verrast door de enorme impact die de aanval van MyDoom heeft veroorzaakt.
In dat geval mogen ze wat mij betreft de titel 'expert' inleveren, want dan weten ze niet waarover ze praten. MyDoom doet als virus niets nieuws, niets wat niet al eerder geprobeerd is. MS was al eerder slachtoffer van dit type virus. Dat men na drie keer eindelijk een virus zou brengen wat en de juiste hostnaam en het juiste IP gebruikt, mag geen verassing heten. Dat voor zover de 'aanval' die het virus uitvoert, de methode van verspreiding is ook niets nieuws.
maar alleen van iemand die waarschijnlijk boos is over de acties van SCO het afgelopen jaar.
no shit, sherlock :P
Leuk iBookje op de homepage van SCO.. Wie weet zit er in OS X ook wel SCO code. }>
Volgens SCO wel, SCO claimt namenlijk dat ook de BSD's IP van SCO bevat. En laat OS X nou op FreeBSD zijn gebaseerd.
Als ik naar sco.com ga (zonder www.) dan kom ik op een pr0n site |:(
Dan wordt het tijd om je ad- spy- en virusscanners te updaten en te runnen :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True