Google: IIS-servers favoriet bij malwaremakers

Het Online Security-team van Google heeft ontdekt dat het voornamlijk IIS-servers zijn die gebruikt worden voor de verspreiding van malware of het aanbieden van zogenaamde drive-by-downloads.

Malware Allereerst zijn de Google-onderzoekers bij 80 miljoen domeinen nagegaan welke webserversoftware gebruikt wordt. Ongeveer tweederde van alle domeinnamen wordt geserveerd door Apache, IIS is goed voor iets minder dan een kwart en de overige procenten worden verdeeld over enkele minder bekende webservers. Deze cijfers wijken licht af van de getallen die NetCraft maandelijks publiceert, maar dat is volgens Google onder meer te wijten aan het feit dat sommige hosts geen root-url hadden gespecificeerd. Uit dit onderzoek is ook gebleken dat de meest voorkomende Apache-versies 1.3.37 (15 procent), 1.3.33 (7,91 procent) en 2.0.54 (6,25 procent) zijn. Van IIS wordt in 80 procent van de gevallen versie 6 gebruikt, de overige 20 procenten worden ingenomen door IIS 5.0, aldus Google.

Vervolgens zijn de leden van het Online Security-team gaan onderzoeken welke software de webservers gebruikten die gedurende de maand mei gebruikt zijn voor malwareverspreiding of het aanbieden van browserexploits die drive-by-downloads mogelijk maken. De verdeling hier is exact gelijk: zowel Apache- als IIS-webservers zijn in 49 procent van 70.000 onderzochte gevallen misbruikt. De resterende 2 procenten van de malware werd verspreid door andere webservers. Wanneer deze gegevens gekoppeld worden aan de verdeling van de webservermarkt, kan de conclusie getrokken worden dat het percentage IIS-servers dat misbruikt wordt dubbel zo hoog ligt als dat van Apache-software. Een mogelijk verklaring hiervoor is dat de malwareverspreidende servers geen legale Windows bevatten – vooral in China en Zuid-Korea is dit het geval – wat vaak samengaat met het feit dat de systemen niet goed geconfigureerd en beveiligd zijn.

Daarbij moet overigens wel opgemerkt worden dat de cijfers op meerdere manieren uitgelegd kunnen worden. Zo blijkt uit het rapport ook dat in Duitsland de kans op een malware verspreidende Apache-server groter is dan dat men een besmette IIS-server aantreft. In Azië doet het omgekeerde fenomeen zich voor. Servers zijn daar vaak voorzien van een illegale Windows-installatie en bijgevolg niet voorzien van alle up-to-date patches. Men zou op basis van de verzamelde statistieken dan ook kunnen betogen dat een gepatchte IIS het beter doet dan een Apache-omgeving.

Reacties (64)

Yalopa 7 juni 2007 07:25

Ik lees eigenlijk nog iets anders in het artikel:

Apache beheerders blijven steken op oude versies, IIS beheerders gaan naar recentere versies, verder lees ik ook: Een goed beheerde IIS server moet op zn minst niet onderdoen voor eender welke apache server. Hier komt volgens mij naar boven dat het platform wat je kiest niet zo belangrijk is als de manier waarop je het beheerd.

Cru gezegd: wie het vinkje install IIS aanzet is niet klaar, maar de persoon die apt-get apache op zijn console intikt is ook nog niet klaar

TGoC @Yalopa • 7 juni 2007 08:53

Dat vind ik eigenlijk een beetje kort door de boeg.

Zowel beide Webservers zijn bezig vooruit te streven.
Apache is een goede, stabiele webserver.
IIS is bekend vanwege zijn grote hoeveelheden bugs, zijn instabiliteit en de problemen eromheen.

Ik vind niet dat je kan zeggen "Apache blijft steken op oude versies".

Het voordeel van apache is dat je de keuze hebt uit een aantal versies.

De legacy (1.3.X range)
De stable (2.2.X range)
En er is ook een testing range, als ik me niet vergis de 2.3.X

Apache is over het algemeen een grote voorkeur omdat IIS er gewoon vaak niet aan kan tippen.

Daarnaast mag apache dan wel minder vaak bijgewerkt worden dan IIS, maar ik heb liever iedere 6 maanden een nieuwe release, die betrouwbaar, stabiel is dan om de maand een nieuwe update om een aantal honderd bugs te corrigeren die IIS vroeger heeft genegeerd.

Dus, Ja. IIS maakt het zeker makkelijker voor malware.

Verwijderd @TGoC • 7 juni 2007 09:48

Apache minder bijgewerkt worden dan IIS ?????
Je slaat wartaal uit.
IIS wordt veel juist minder vaak geupdate dan Apache.

De al jaren lag veroudere IIS 5 heeft nauwelijk nog patches nodig (wel een paar flinke beveiligings fouten 6-7 jaar geleden)

De momenteel veel gebruikte IIS 6 versie heeft slechts 1 (gepachte) vunerability per JAAR (totaal 3 sinds 2003).
De half jaar oude IIS 7 versie heeft nog helemaal geen ontdekte vunerabilities maar wordt nog maar slechts sporadisch gebruikt.

PolarBear @TGoC • 7 juni 2007 09:43

IIS versie 6 is een prima webserver. Daar zijn ook heel weinig updates en bugs in gevonden...

visualice 6 juni 2007 22:16

Waarom staat er boven dit nieuwsbericht zo'n subjectieve titel? Uit het artikel blijkt dat IIS en Apache beiden in 49 procent van de gevallen misbruikt worden. Er kan uiteraard gediscussieerd worden over de mate van verspreiding, waarin IIS slechts minder dan een kwart inneemt. Dit impliceert dat IIS procentueel voor iets meer misbruiken verantwoordelijk is. Het is alleszins geen zwart/wit situatie (lijkt me) en de titel is volgens mij dan ook niet geheel objectief.

Zoals s441558 aangeeft zou het om een verschil van 0.11% gaan.

[Reactie gewijzigd door visualice op 6 augustus 2024 05:47]

ebx @visualice • 7 juni 2007 00:56

Natuurlijk kan je met cijfers alles bewijzen en met percenten alles minimaliseren.

Je moet goed lezen !

1e Fase is de gebruiksverhouding tussen ISS en apache vastellen: dit zijn respectievelijk 25% en 66%, dit onderzoek is gedaan op 80 miljoen webservers.

2e Fase is een momentopname in mei, van 70.000 besmette servers. Er is hier geen directe link met de 80 miljoen webservers uit de eerste fase, waarmee de gebruiksverhouding werd vastgesteld !
Het zo perfect kunnen dat dit 70.000 besmette server op 1 miljoen gecontroleerde servers in mei is als 70.000 besmette servers op 2 miljoen gecontroleerde servers !!!

Je dit dus niet zoals s441558 gaan rekenen met cijfers die geen verband hebben met elkaar !

Op 100% besmette servers is 49% apache & 49% ISS. Nu moet je dit zoals het artikel ook zecht:

Wanneer deze gegevens gekoppeld worden aan de verdeling van de webservermarkt, kan de conclusie getrokken worden dat het percentage IIS-servers dat misbruikt wordt dubbel zo hoog ligt als dat van Apache-software.

Even een eenvoudig fictief voorbeeld op 100(=percenten)

Bij de test nemen we 100 webservers (100%) om de verhouding hiervan te bepalen nemen we der verhouding die gemeten is op 80 milj. servers. Hiervan gaan we de resultaten van kleinere test tegen afmeten !

Apache : 66.6 Servers <> resulteert in 49 besmette pcs
Iss : 25 Servers <> resulteert in 49 besmette pcs
rest : 9 Servers <> resulteert in 2 besmette pcs

> Hier krijg je 100% marktverhouding <> 100% besmette pcs

Via de regel van 3 ga je het aantal servers van alle partijen op 100(%) zetten, om een eerlijkere vergelijking te krijgen.

Apache : 100 Servers <> resulteert in 74,24 besmette pcs
Iss : 100 Servers <> resulteert in 196 besmette pcs
rest : 100 Servers <> resulteert in 22,2 besmette pcs

Dit is op een totaal van 300(%) pc's.
Even delen door 3 om een 'percentuele' vergelijking te genereren:

Bij een Apache server heb je 24,7% kans op een besmette server
Bij een ISS server heb je 65,3% kans op een besmette server
Bij een andere server heb je 7,4% kans op een besmette server

in de redenering dat je van alle 3 de servers een evenredig aantal hebt en het percentage enkel slaat op de besmette servers (=100%)

Jammergenoeg is er geen verhouding gegeven van hoeveel systemen er onderzocht zijn in mei ! Of hoeveel systemen er 'clean' zijn bevonden in die periode (mei)
Daardoor kan je nooit 100% zeker bepalen wat nu de exacte verhouding is, maar je kruigt wel een zicht op een orde waarin ze zich verhouden !

Waar apache in marktverhouding microsft dubbelt, dubbelt microsoft in kwetsbaarheidspercentage apache.

De dag dat ISS en apache elk 50% van de markt in handen hebben, zullen er 40% meer besmette ISS machines zijn, dan er besette apache zullen zijn

Veiligheidsverhouding is dus wel erg hoog (in het nadeel van microsoft), dus de titel is 100% terecht. Enige voordeel tov ISS, is dat er door het lagere marktaandeel ook een hogere afwijking zit extrapolatie ...

[Reactie gewijzigd door ebx op 6 augustus 2024 05:47]

humbug @ebx • 7 juni 2007 13:55

@Ebx.

Eerst geef je aan dat je geen percentage kan geven, dan ga je rommelen met nogal vage berekeningen en komt er toch een percentage uit. Dát stuk van je verhaal slaat nergens op

Als je toch wilt rekenen zul je moeten werken met de verhoudigen.
- Aantal server (2/3 vs 1/4 = 8 : 3)
- Aantal besmettingen (49% vs 49% = 1 : 1)

De kans op een besmette IIS server is dus 8/3 (=2,666) x zo hoog als een besmette apache server.

wartos @humbug • 7 juni 2007 15:30

@ humbug

pak je rekenmachine en reken na alvorens Ebx zijn post af te breken.

Raad eens hoeveel de 65.3 gedeeld door 24.7 is?

Zou het (ongeveer - vanwege de afrondingen) 2,66 zijn?

bat266 @visualice • 6 juni 2007 22:24

in 49 procent van de malware gevallen is iis de dader en in 49 procent is apache de dader. Omdat er ongeveer 2 x zoveel apache servers zijn is het percentage van besmetting bij iis 2 x zo groot

s441558 @visualice • 6 juni 2007 22:26

Volgens mij wordt er bedoeld dat van de 70000 gevallen waarin misbruik werd gemaakt, er 49% aan Apache toe te schrijven zijn en 49% aan ISS. Aangezien er veel meer Apacheservers zijn, worden deze procentueel minder misbruikt.

Apache (49% * 70000) / (2/3 * 80 miljoen) = 0.06%
ISS (49% * 70000) / (1/4 * 80 miljoen) = 0,17%

Oftewel bijna 3 maal zo veel procentueel gezien.

PWM 6 juni 2007 22:21

Andere conslusie uit het artikel:

"Overall, we see a mix of results. In Germany, for instance, Apache is more likely to be serving malware than Microsoft IIS, compared to the overall distributions of these servers. In Asia, we see the reverse, which is part of the cause of Microsoft IIS having a disproportionately high representation at 49% of malware servers. In summary, our analysis demonstrates how important it is to keep web servers patched to the latest patch level."

In een land, waar gewoon de Patches wel worden gedraaid (weinig commerciele piracy), doet IIS het dus beter dan Apache, ook met de verdeling van de markt in het achterhoofd.

Een omgeving met een gepatchde IIS doet het dus beter dan een Apache omgeving.

M.a.w. Dit artikel kan je net zo uitleggen als je wilt.

Mooie suggestieve kop though.

[Reactie gewijzigd door PWM op 6 augustus 2024 05:47]

berend_engelbrecht @PWM • 7 juni 2007 07:29

Ik wil er op wijzen dat de suggestieve kop van tweakers.net/vnu is en niet van Google. De kop van het Google artikel is volstrekt neutraal: Web Server Software and Malware. De conclusie van de auteur is ook niet als anti-Microsoft uit te leggen:

first, automatic updates have not been enabled due to software piracy [...], and second, some security patches are not available for pirated copies of Microsoft operating systems. For instance the patch for a commonly seen ADODB.Stream exploit is not available to pirated copies of Windows operating systems.

Je zou er hoogstens een pleidooi in kunnen zien om patches die tot malwareverspreiding kunnen leiden zoals de genoemde ADODB.Stream patch ook in de standaard automatische update op te nemen (zodat minder legale systemen ze ook krijgen).

user109731 @PWM • 6 juni 2007 22:47

Andere conslusie uit het artikel:

Dat staat ook in het t.net artikel toch?

Mooie suggestieve kop though.

Valt wel mee toch? Wereldwijd gezien is de kans op malware groter op een IIS server, volgens Google. Dat het in bepaalde regio's anders is doet daar vrij weinig aan af.
Er word ook niet gezegd dat IIS slechter is ofzo, dus behalve een mogelijke verklaring doet het al dan niet gepatcht zijn niets af aan de conclusie...

Al met al niet slecht voor het gratis open-source pakketje

[Reactie gewijzigd door user109731 op 6 augustus 2024 05:47]

kidde

Open source

@user109731 • 7 juni 2007 03:10

Dat het in bepaalde regio's anders is doet daar vrij weinig aan af

Klopt, als er in Duitsland in een jaar 5 malwareprogramma's worden verspreid en in China op een jaar 5.000.000, wat doet het er dan toe welke server die Duitsers gebruiken?

Het voorbeeld is geheel fictief, maar ik wilde alleen aantonen dat er meer factoren een belangrijke invloed hebben.

[Reactie gewijzigd door kidde op 6 augustus 2024 05:47]

Verwijderd 6 juni 2007 22:14

Dit is dus een slecht voorbeeld van het niet doorlaten van de updates bij gebruik van een illegale windows versie.

Het gebruik van illegale software wil ik niet goed praten, integendeel. De 'illegalen' verpesten het nu voor de legale gebruikers.

Een betere manier is gewoon bij constatering van een illegale versie een blokkade van het gehele systeem. Daar voorkom je dan misschien wel de verspreiding van malware mee. Al moeten natuurlijk de legale versies dan niet per ongeluk illegaal bestempeld worden zoals een tijd terug wel voor kwam.

Yoeri @Verwijderd • 6 juni 2007 22:21

Slecht voorbeeld, want (kritieke) beveiligingsupdates worden wèl nog geleverd aan illegale systemen

PWM @Yoeri • 6 juni 2007 22:26

Nee dus:

We suspect that the causes for IIS featuring more prominently in these countries could be due to a combination of factors: first, automatic updates have not been enabled due to software piracy (piracy statistics from NationMaster, and BSA), and second, some security patches are not available for pirated copies of Microsoft operating systems. For instance the patch for a commonly seen ADODB.Stream exploit is not available to pirated copies of Windows operating systems.

Flying Dragon @Verwijderd • 7 juni 2007 08:31

Een betere manier is gewoon bij constatering van een illegale versie een blokkade van het gehele systeem

met al die false positives in xp (wel legale windows, die als illigaal bestempeld word do microsoft) zullen de mensen van microsoft niet populair maken.
Illigaal gebruik is niet echt goed te praten, maar is in mijn mening een van de dingen waar door microsoft groot geworden is.

Verwijderd @Flying Dragon • 7 juni 2007 09:34

Plus daar komt bij dat Microsoft het echt geen probleem vind dat groeimarkten als Azie desnoods illegaal leren werken met hun software, dat zijn namelijk de markten die bijv. Linux echt een groot momentum kunnen geven.

Yalopa @Verwijderd • 7 juni 2007 07:27

Een betere manier is gewoon bij constatering van een illegale versie een blokkade van het gehele systeem.

Ik kan niet wachten, MS (en anderen) zouden hier beter eens korte metten mee maken..

[Reactie gewijzigd door Yalopa op 6 augustus 2024 05:47]

maxxware @Yalopa • 7 juni 2007 08:28

Dat zou betekenen dat 60% van de IIS servers uit de lucht gaat...

Olaf van der Spek @maxxware • 7 juni 2007 10:39

En het probleem is?

Yalopa @Olaf van der Spek • 7 juni 2007 12:24

Het "probleem" is dat er minder slechte IIS servers in de wereld zouden zijn.

mae-t.net

Malware

@Verwijderd • 7 juni 2007 12:48

En het probleem is?

Verwijderd @Yalopa • 8 juni 2007 10:20

Ik kan ook niet wachten. Hoe lang zou het duren voordat iedereen begint te klagen? Ohnee, wacht, die mensen hebben natuurlijk geen internettoegang meer met hun illegale Windows versies. Nee inderdaad, goed idee

CentralX @Verwijderd • 8 juni 2007 22:46

Inderdaad, ik zie een nieuwe markt voor Apache Webserver + UNIX

Ex-illegale-IIS gebruikers opvangen. Geen gezeur over illegaliteit en best of all gratissss

OpenMinded @Verwijderd • 7 juni 2007 08:18

dit is een goed voorbeeld van het verspreiden van onzin om die rommel van ome Bill minder af te kraken, waar veel artikelen hier een handje van hebben.
Die zogenaamde illegale windozen zijn prima te updaten met winduzeupdate of een beetje scripten.
Je kunt zelfs gewoon automatische updates aanzetten, je kunt dan alleen geen IE7 en gevalideerde meuk installeren.
Ik denk dat de verdeling procentueel gelijk is wat betreft patchen. Je ziet namelijk dat 2/3 van de 1.3 Apache gebruikers up2date gepatcht is en de rest op versie 2 zit. De IIS gebruikers zitten voor 80 % op versie 6, dus oftewel IIS 5 heeft relatief heel veel bugs, of IIS 6 is gewoon minder veilig dan 5, wat me niets zou verbazen, omdat de kwaliteit en veiligheid van Mickeysoft software sinds dag 1 al beneden maat is

brobro 7 juni 2007 15:53

Je zou kunnen concluderen dat IIS gepached en wel veiliger is staat er. Maar zijn die Apache servers dan wel up-to-date? Een illegale niet up-to-date server heeft ook te maken met 'amateurisme'. Je kunt een apache server moeilijk illegaal installeren. Maar je kunt hem natuurlijk makkelijk slecht configureren.

Deze suggestie is een beetje van het gehalte 'php is een onveilige programmeertaal'. Dat er veel huis tuin en keuken (mis)gebruik van wordt gemaakt ipv 'professioneel' maakt het nog niet onveilig.

Ik zou het interessanter vinden als ook onderzocht kon worden van wie/wat voor gebruikers die IIS/Apache servers zijn. Is dat van de studentikoze hobbyist die ook 'hosting service' ging aanbieden? Of van echte pro's?

Bartagnan 8 juni 2007 08:05

Gezien het feit dat de discussie zoals gebruikelijk leidt tot een Apache vs IIS oorlog, wil ik graag even wijzen op de volgendeweblog . Laat je niet misleiden door de datum van de post, de grafieken zijn up to date. Ik heb ze net gechecked op de secunia site. Ik ben geen Mickeysoft fan, maar hieruit blijkt toch dat het aantal critical bugs in IIS6 beduidend lager ligt dan in appache 2.0x.

dotcode 6 juni 2007 22:17

Volgens het onderzoek is de verdeling iis en apache 49/49 procent. De conclusie die in de titel staat is dus behoorlijk overdreven. Je kan de getallen op meerdere manieren uitleggen. Maar google legt ze behoorlijk gekleurt uit tegenover hun grootste concurent.

Nijn @dotcode • 6 juni 2007 22:36

Google legt ze keurig uit. Er zijn 2x zo veel apache servers als IIS servers, en toch zijn ze beiden verantwoordelijk voor een gelijk deel van de malware. Dus de kans dat een IIS server malware levert is 2x zo groot.

Daarnaast is (in de bron) een plausibele verklaring van dit feit vermeld, die helemaal geen afbraak doet aan het image van MS.

Bovendien stellen ze ook nog is dat in "ontwikkelde" landen, waar de patches dus vaker geinstalleerd zijn, de IIS instalaties zelfs veiliger zijn dan Apache. (En ook dat is natuurlijk genomen in bovenstaande percentages)

[Reactie gewijzigd door Nijn op 6 augustus 2024 05:47]

Verwijderd @Nijn • 7 juni 2007 00:03

Dan zou je dus ook moeten meten met de nieuwste Apache versies. Als je er fictief vanuit daat dat volledig gepatchte IIS servers een bepaalde mate van veiligheid hebben, dan is dat alleen maar te vergelijken als je diezelfde fictieve updates ook voor Apache beredeneert. In het artikel staat namelijk ook dat bijv 15% van de Apache servers nog versie 1.3.37 draait, etc

humbug @Verwijderd • 7 juni 2007 14:10

Niet helemaal. Het blijkt zo te zijn dat (relatief) veel van de gehackte IIS servers in Asie staan waar veel illegale IIS servers zijn die geen toegang tot de beveiligingsupdates van Microsoft hebben.

Om eerlijk te vergelijken zou men enkel machines moeten vergelijken waarbij de beheerders de mogelijkheid hebben om alle patches toe te voegen. Bij IIS zijn dat alleen de legale gebruikers, bij Apache alle gebruikers. Helaas zijn deze gegevens niet bekend maar als je kijkt naar gebieden met minder illegale software zie je dat IIS daar minder gehackt wordr dan Apache. Het lijkt dus zo te zijn dat de legale gebruikers van IIS minder last hebben van hackers dan apache gebruikers.

Hier zijn verschillende potentiele oorzaken voor. Bijvoorbeeld.
- IIS beheerders zijn meer bezig met de veiligheid van hun systeem en letten dus beter op.
- Het update mechanisme van IIS is eenvoudiger zodat het eenvoudiger is om IIS up2date te houden
- Microsoft is actiever in het uitbrengen van patches dan Apache
- IIS is fundamenteel veiliger dan Apache.
- enz enz

Dit onderzoek kan helaas op verschillende manieren geinterpreteerd worden en er valt uiteindelijk weinig te zeggen over de relatieve veiligheid van Apache en IIS aangezien de oorzaken van het geconstateerde verschil in gehackte servers niet duidelijk worden.

kidde

Open source

@Nijn • 7 juni 2007 03:00

de IIS instalaties zelfs veiliger zijn dan Apache.

!? Maar dat heeft toch niets met IIS te maken, maar met haar gebruikers? Immers, een wapenwinkel kan toch ook beter beveiligd zijn tegen inbraak dan een supermarkt, maar toch zal de wapenwinkel meer 'malware' verspreiden? En hoeveel mensen met een wapen uit de wapenwinkel een moord plegen zegt toch weinig tot niks over de veiligheid van de wapenwinkel?

Nog weer anders gesteld: Als ik vanaf mijn volledig ge-update Gentoo Linux bak een Windows virus download (dat op mijn Linux-bak niet eens kwaad kandoen) en aan alle e-mailadressen die ik kan vinden mail, zegt het toch ook niks over de veiligheid van Gentoo Linux?

Nee, de conclusie met die ge-update servers slaat totaal nergens op als je het mij vraagt. De relatie is wederom omgekeerd: Niet mensen die hun machine up-to-date houden verspreiden (daarom) minder malware, maar mensen die toch al malware verspreiden geven of weinig om de veiligheid van hun server, of zijn lui.

[Reactie gewijzigd door kidde op 6 augustus 2024 05:47]

2playgames @kidde • 9 juni 2007 14:13

Je moet het anders zien. Doordat de "supermarkt" minder goed beveiligd is, is het voor een kwaadwillende makkelijker om daar de producten vol met gif te gaan spuiten.

kidde

Open source

@dotcode • 7 juni 2007 02:52

Je moet niet uitgaan van áls ik een besmette server heb, wát draait die dan. Je moet er van uitgaan áls ik een malwareverspreider heb, wélke server kiest deze dan.
(Nog een dergelijk verwarring:
Als ik een Tweaker heb, hoe groot is de kans dat deze Firefox gebruikt? vs.
Als iemand Firefox gebruikt, hoe groot is de kans dat dit een tweaker is?)

Iemand die een 'normale' server opzet, kiest in 25% voor de gevallen voor IIS. Iemand die malware gaat verspreiden, kiest in 49% van de gevallen voor IIS. Mensen die malware verspreiden verkiezen dus bovengemiddeld vaak IIS.
Zouden malwaremakers géén keuze maken over welke server ze gebruiken, zouden waarschijnlijk 25% van deze mensen gebruik maken van IIS servers, omdat 25% van alle gebruikers wereldwijd voor IIS kiest.

Men kan dus stellen dat IIS populair is bij malwaremakers, aangezien 24% van de malwaremakers 'afwijkt van de normale verdeling van servers' en speciaal voor IIS lijkt te kíezen.

Keneo @kidde • 7 juni 2007 11:51

nee

de malware wordt niet door de eigenaar/beheerder van de server op de server gezet

maar de server wordt gekraagt, en de kraker plaatst er dan malware op (ipv even een deface te doen)

dit is de stelling waarvan de maker van die cijfers vanuitgaat.

Imho zal het ergens tussenin moeten liggen...

kimborntobewild 6 juni 2007 23:13

Het geeft maar weer eens aan waarom Closed Source OS zo slecht is. Als je 't installeert zonder te betalen krijg je dus niet de benodigde updates en zitten we opgescheept met miljoenen malware verspreidende servers.

Nijn @kimborntobewild • 6 juni 2007 23:25

Tja, moet je wel het hele verhaal vertellen...
Als er niet voor betaald word, mag het niet geinstalleerd worden. Maar goed, dat gebeurt toch.

Maar als je de bron leest, zie je dat een volledig gepatchde versie van IIS juist veiliger is dan Apache.

Zelfs al is IIS ongepatched, dan nog is er maar een 2x zo grote kans op malware.

BackwardsDown @Nijn • 6 juni 2007 23:31

Die conclusie kan je niet trekken, misschien heeft een ongepatchte IIS wel een 10x zo hoge kans op malware. Je gaat er namelijk nu vanuit dat elke IIS ongepatched is.

Nijn @BackwardsDown • 7 juni 2007 00:00

Zie onder anderen:

Overall, we see a mix of results. In Germany, for instance, Apache is more likely to be serving malware than Microsoft IIS, compared to the overall distributions of these servers.

Uit het artikel is de conclussie niet te trekken. Wel uit de bron.

[Reactie gewijzigd door Nijn op 6 augustus 2024 05:47]

Pietervs @Nijn • 7 juni 2007 00:01

Zelfs al is IIS ongepatched, dan nog is er maar een 2x zo grote kans op malware
Hoewel ik geen fan ben van MS, moet ik toch zeggen dat uit het artikel blijkt dat IIS minstens zo veilig is als Apache, als deze tenminste gepatched is. Maar ongepatched is de kans op malware op een IIS server toch duidelijk veel hoger dan op een Apache server...

Verwijderd 7 juni 2007 01:36

IIS-servers zijn dus *niet* favoriet bij malwaremakers; ongeveer de helft doet het op Apache, de andere helft op IIS. Dat er toevallig veel meer Apache wordt gebruikt en Apache relatief dus minder wordt 'misbruikt', doet daarvoor niet toe. Ik ben malwaremaker, en ga in de helft van de tijd op Apache en de andere helft van de tijd op IIS werken. Conclusie: de kop is inderdaad suggestief.

Ugh

Verwijderd @Verwijderd • 7 juni 2007 09:16

Jij hebt er niks van begrepen. Lees het hele stukje nog maar een keer. De helft van de misbruikte servers draait Apache en de helft van de misbruikte servers draait IIS. Da's heel wat anders. Simpel gezegd: 35000 van de 66% * 80M is veel minder dan 35000 van de 25% * 80M. (0,06% t.o.v. 0,175%)

Verwijderd @Verwijderd • 7 juni 2007 09:36

Ik heb het wel begrepen. Ik snap heus wat je wil zeggen, maar als je een willekeurig malware-systeem pakt is de kans 1 op 2 dat het Apache, en 1 op 2 dat het IIS is. De voorkeur wordt dus niet aan IIS gegeven!

Ga je het andersom benaderen: ik pak een willekeurige IIS-webserver en kijk of er malware op staat, dan is die kans inderdaad veel groter dan wanneer je een willekeurige Apache-server pakt en kijkt of er malware op staat. Dat maakt IIS relatief meer gebruikt, maar niet favoriet bij malwaremakers (dan zou het vaker gebruikt zijn dan Apache, punt.)

The Van @Verwijderd • 7 juni 2007 10:43

Nee, dus - zelfde denkfout als boven zo vaak:
Van alle webservers heeft IIS slechts een marktaandeel van 23%, tegen Apache 66%.
Apache heeft dus (grofweg) een drie keer zo groot aandeel.
Van alle malware komt (grofweg) de helft van IIS, en de andere helft van Apache.

De kans, dat IIS besmet is, is dus 3 keer zo hoog.
(Wat Koochy dus ook al duidelijk maakte: 0,06% tegen 0,175%: da's 1:3)

loodgieter 7 juni 2007 00:02

Men zou op basis van de verzamelde statistieken dan ook kunnen betogen dat een gepatchte IIS het beter doet dan een Apache-omgeving.

rekening houdend dat er relatief meer Apache servers zijn kan ik me voorstellen dat een geupdate IIS6 beter beveiligd is. Want oudere Apache server zullen alligt bugs in zich hebben zitten.

arjankoole

Beveiliging

@loodgieter • 7 juni 2007 00:17

Want oudere Apache server zullen alligt bugs in zich hebben zitten.

het leuke is echter weer wel dat die vaak OS specifiek zijn, ik heb heel vaak gemerkt dat een exploit voor apache versie zoveel onder Linux prima werkt, maar met diezelfde versie van apache onder bijvoorbeeld FreeBSD niet.

Het onderliggende besturingssysteem is dus ook een aanzienlijke factor, en aangezien er behoorlijk wat hosting bedrijven en ISP's FreeBSD gebruiken, best intressant om mee te onderzoeken.

Op dit item kan niet meer gereageerd worden.

Google: IIS-servers favoriet bij malwaremakers

Lees meer

Reacties (64)

Sorteer op:

Weergave: