Rare GET in IIS logfile

vrijdag 20 juli 2001 00:37

misschien iemand die een nieuwe exploit uittest?

Acties:

vrijdag 20 juli 2001 00:42

Geen id. Ik zie wel zojuist in mijn apache logs (op linux) dat ik er ook 16 in heb staan. (Op mijn eigen domeintje waar 2 bezoekers per jaar op komen. (De eerste van van [19/Jul/2001:17:21:55 +0200])

Vreemde kost. De requests zijn afkomstig van 16 verschillende hosts. Ik denk een 'nieuwe' exploit van apache of IIS.

Acties:

Verwijderd

Topicstarter

Op vrijdag 20 juli 2001 00:35 schreef The Source het volgende:
misschien iemand die een nieuwe exploit uittest?

Ja.. zou best kunnen.. Maar als ik sommige ips in mijn ie stop dan komt ie gewoon bij wat vage sites (geen warez ofzo..)

vrijdag 20 juli 2001 00:42

Acties:

vrijdag 20 juli 2001 00:46

Aanvulling gevonden via securityfocus.com (gezocht op default.ida):

http://www.newsbytes.com/news/01/168003.html?&_ref=114539989

Acties:

Verwijderd

Topicstarter

rond die tijd was het bij mij ook. Dit was de derde de eerste begon op 15:08

zelfde ip range..??

LOG>> 2001-07-19 17:13:37 213.30.133.xxx

vrijdag 20 juli 2001 00:49

Acties:

vrijdag 20 juli 2001 00:51

Ik zit in 213.84.xxx.xxx
Het blijkt dus idd een worm te zijn voor ISS. Hij wordt wel "Red - worm" genoemd door de page die hij achterlaat.

Acties:

Verwijderd

Topicstarter

dit verklaart idd een hoop.. nou ff kijken wat M$ hier over te zeggen heeft..

Dit verklaart ook al die verschillen ip adressen...

vrijdag 20 juli 2001 00:56

Acties:

vrijdag 20 juli 2001 01:27

Volgens dat artikel waarvan ik de url hierboven neer gooide, heeft MS al sinds Juni een patch.

Weer een hoop brakke sysops dus.

Acties:

Verwijderd

Topicstarter

nou.. dan zal ik die requests nog wel een paar keer in mijn logfiles voorbij zien komen..

Ik had de mappingen voor de index server al weggehaald dus deze exploid werkte bij mij niet...

enne bedankt voor die link!

vrijdag 20 juli 2001 02:00

Acties:

0siris

hmmz...ook bij mij is het geprobeerd, maar ja, Apache heh

ach...in een volgend leven lach je er om!

vrijdag 20 juli 2001 02:17

Acties:

Verwijderd

wrom bij mij niet ?

voel me gepasseerd!

heb bij al me domeintjes de errorlog gecheckt en niet een met dat...

vrijdag 20 juli 2001 02:33

Acties:

Verwijderd

Op vrijdag 20 juli 2001 02:17 schreef Kertje het volgende:
wrom bij mij niet ? voel me gepasseerd!

Geen idee, mij apache hebben ze al 24x geprobeerd te grazen te nemen vanaaf..

vrijdag 20 juli 2001 04:29

Acties:

Aphax

Verdomd ik had er ook een paar

203.252.5.* - - [20/Jul/2001:01:09:26 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN etc....

vrijdag 20 juli 2001 07:40

Acties:

ACM

Software Architect

Werkt hier

code:

1 2	[acm@vulcanus httpd]$ grep default.ida * \| wc -l 33

Hier ook een paar.
Kan die stomme worm niet eerst even checken of de server een IIS bak is?
Dat wordt toch wel getoond door mijn apache machine, dat ie dat niet is...

vrijdag 20 juli 2001 08:40

Acties:

Xanthorax

Het staat hier ook vol

code:

1 2	cat wit381210.log \|grep default.ida \| wc -l 21

vrijdag 20 juli 2001 09:20

Acties:

Verwijderd

code:

1 2	[arien@www logs]$ grep 'default.ida' access_log \| wc -l 31

ACM: Kan die stomme worm niet eerst even checken of de server een IIS bak is? Dat wordt toch wel getoond door mijn apache machine, dat ie dat niet is...

Doet me denken aan een draadje van een paar dagen geleden over ehm....

vrijdag 20 juli 2001 09:22

Acties:

raphidae

...antichrist...

Zie ook:

http://www.eeye.com/html/Research/Advisories/AL20010717.html

en

http://www.cert.org/advisories/CA-2001-19.html

Every morning is the dawn of a new error.

vrijdag 20 juli 2001 10:04

Acties:

vrijdag 20 juli 2001 10:21

Electric Monk

dimple:/var/log/apachelogs$ grep 'default.ida' access_log | wc -l
23

* pinball 2

irritant zeg.. laat ze idd eerst ff checken of er wel iis draait

edit:

fuck.. lees net dat al die machines dezelfde randomgenerator gebruiken om ip adressen te bouwen. Dat betekend de komende maanden een soort van ddos op mijn lijntje

Whenever you find that you are on the side of the majority, it is time to reform.

Acties:

Whizzer

Flappie!

Het schijnt al veel verder te gaan als alleen IIS, als je een beetje leest en zoekt in bugtraq, zijn er al HP printers met een ingebouwde webserver slachtoffer geworden van dit Code Red... Je wordt er niet blij van...

* Whizzer is al de hele ochtend bezig om te kijken of onze systeem beheerder wel alles goed geregeld heeft... Tot nu toe wel...

Ik ben geweldig.. en bescheiden! En dat siert me...

vrijdag 20 juli 2001 11:04

Acties:

ACM

Software Architect

Werkt hier

Op vrijdag 20 juli 2001 09:20 schreef Arien het volgende:
Doet me denken aan een draadje van een paar dagen geleden over ehm....

Zo'n draadje over SMTP in windows bedoel je?

vrijdag 20 juli 2001 11:37

Acties:

vrijdag 20 juli 2001 11:38

http://slashdot.org/articles/01/07/19/2230246.shtml

altek writes: "CNET has an article describing a worm that has taken down over 12,000 MS IIS webservers." Bill Kendrick points to another CNET story, which reports that the worm will "cause every infected computer to flood the Whitehouse.gov address with data starting at 5 p.m. PDT," writing "Time to shut down all those IIS servers before the Internet gets flooded."

Slow Internet service due to all those extra packets of malice may not be the worst effect: As sp1n writes: "It appears that due to the way the worm formats its HTTP request and the semi-random way it seeks out vulnerable systems, it is also causing Cisco 67x DSL routers, widely deployed by Qwest, using firmware prior to 2.4.1, as well as some others, such as 3Com LanModems, to crash -- recoverable only by a power cycle. I have yet to see any news outlet cover the affect this is having on DSL service. Qwest's Interprise networking department confirmed they are receiving reports from all 14 states in their territory. Some routers running pre-2.4.1 firmware are crashing even though the web admin is disabled. This has become a huge support nightmare for every ISP in the region."

Acties:

vrijdag 20 juli 2001 12:27

Op vrijdag 20 juli 2001 11:04 schreef ACM het volgende:

[..]

Zo'n draadje over SMTP in windows bedoel je?

[topic=185614]

Acties:

Verwijderd

The Source: [topic=185614]

Nee, ACM begreep mij perfect.

vrijdag 20 juli 2001 12:45

Acties:

Mior

b0xx:/var/log# less httpd/www.pino.nu-access_log | grep default.ida | wc -l
25
b0xx:/var/log#

Hmm

edit:
Ik ben btw benieuws hoe de volgende netcraft webserver survey eruit zal gaan zien

vrijdag 20 juli 2001 12:49

Acties:

getty

Heeft iemand de lijst met de geinfecteerde IIS servers?

A computer is almost human - except that it does not blame its mistakes on another computer.

vrijdag 20 juli 2001 12:52

Acties:

Berkie

- burps -

Op vrijdag 20 juli 2001 12:49 schreef getty het volgende:
Heeft iemand de lijst met de geinfecteerde IIS servers?

In mijn apache log staan genoeg besmette servertjes ...

verstand op nul en nadenken ..

vrijdag 20 juli 2001 12:56

Acties:

Mior

Op vrijdag 20 juli 2001 12:52 schreef Berkie het volgende:

[..]

In mijn apache log staan genoeg besmette servertjes ...

Uit mijn apache log:

b0xx:/var/log# less httpd/www.pino.nu-access_log | grep default.ida | awk '{print $1 }'
140.135.16.140
216.70.158.138
24.43.110.129
202.107.217.201
216.133.128.185
63.169.45.103
24.1.122.180
210.69.234.2
212.247.181.71
206.191.253.48
194.209.154.156
195.163.56.151
206.191.160.253
209.178.116.14
203.12.39.1
24.116.40.46
24.20.206.226
193.154.164.81
195.215.99.126
199.181.167.141
213.98.177.95
212.234.44.151
12.91.130.82
163.17.47.129
b0xx:/var/log#

vrijdag 20 juli 2001 12:59

Acties:

Grum

relevante links

http://slashdot.org/article.pl?sid=01/07/19/2230246&mode=noc
http://eeye.com/html/Research/Advisories/AL20010717.html
http://www.internethealthreport.com/24/
http://www.internethealthreport.com/

as we speak word whitehouse.gov plat geflood

(of liever 198.137.240.92)

vrijdag 20 juli 2001 13:20

Acties:

Moartn

Team Coco

Vergeet u deze link niet...

Mijn webserver heeft ook al een stuk of 20 van die pogingen gehad. Ik draai alleen geen IIS, dus het heeft niet veel nut...

Sint Moartn, Sint Moartn, de koeien hebben stoartn

vrijdag 20 juli 2001 13:30

Acties:

Jelmer

Server waar mn site gehost wordt:

PROSIG200 ~$ cat /var/log/apache/access.log* |grep default.ida|wc -l
16

linux firewall van een klasgenoot:

project@cXXXXXXXX:~$ cat /var/log/httpd/access_log* |grep default.ida|wc -l
21

Deze komen van mn eigen casema firewalletje waarop ik apache niet voor 'buiten' open heb staan. Vond het al vreemd genoeg dat er opeens zoveel packets met destination port 80 bij stonden..

Jul 19 06:23:45 SRC=213.99.199.250 SPT=2403 DPT=80
Jul 19 06:23:54 SRC=213.99.199.250 SPT=2403 DPT=80
Jul 19 17:26:12 SRC=202.101.233.112 SPT=39366 DPT=80
Jul 19 17:26:16 SRC=202.101.233.112 SPT=39366 DPT=80
Jul 19 18:07:17 SRC=205.229.172.80 SPT=2838 DPT=80
Jul 19 18:37:49 SRC=216.60.20.199 SPT=2941 DPT=80
Jul 19 21:58:25 SRC=63.110.79.15 SPT=3930 DPT=80
Jul 19 21:58:28 SRC=63.110.79.15 SPT=3930 DPT=80
Jul 19 21:58:34 SRC=63.110.79.15 SPT=3930 DPT=80
Jul 19 22:01:41 SRC=199.217.138.86 SPT=2774 DPT=80
Jul 19 22:01:44 SRC=199.217.138.86 SPT=2774 DPT=80
Jul 19 22:59:16 SRC=158.123.187.11 SPT=40547 DPT=80
Jul 19 23:08:24 SRC=212.242.151.112 SPT=11368 DPT=80
Jul 20 00:08:50 SRC=203.43.223.131 SPT=58976 DPT=80
Jul 20 00:25:48 SRC=131.178.60.60 SPT=2040 DPT=80
Jul 20 00:43:36 SRC=213.172.194.13 SPT=2180 DPT=80
Jul 20 01:31:42 SRC=200.223.0.158 SPT=3102 DPT=80
Jul 20 01:31:45 SRC=200.223.0.158 SPT=3102 DPT=80
Jul 20 02:08:11 SRC=203.231.237.118 SPT=1357 DPT=80
Jul 20 02:08:14 SRC=203.231.237.118 SPT=1357 DPT=80
Jul 20 07:18:15 SRC=200.18.32.227 SPT=2936 DPT=80
Jul 20 07:18:18 SRC=200.18.32.227 SPT=2936 DPT=80
Jul 20 07:18:24 SRC=200.18.32.227 SPT=2936 DPT=80

(23 dus)

kortom heb er dus al 60 gezien...

vrijdag 20 juli 2001 14:28

Acties:

Verwijderd

Ja.. wie gebruikt er dan ook IIS.. :Z:P

vrijdag 20 juli 2001 14:30

Acties:

RRX

@life-

bij de log van mijn internetdeel proggie zie ik ook dit:

code:

1 2	[2] [124835584] IP [140] [6] 128.242.237.107:80->212.120.106.104:2511 [18] HTTP/1.1 200 OK..Server: Microsoft-IIS/5.0..Date: Fri, 20 Jul 2001 12:21:59 GMT..Conection: close..

mijn T.net systeemspecspagina

vrijdag 20 juli 2001 14:44

Acties:

Verwijderd

Hoe kan je zien of je geïnfecteerd bent?

vrijdag 20 juli 2001 14:54

Acties:

Verwijderd

De webserver bij ons bedrijf was afgelopen maandag geinfecteerd ( jaja.. IIS5). Toen kon ik echt helemaal niks vinden op internet. Nu gelukkig wel.

Uiteraard is de veranderde homepage een aardig teken, maar ook als je in een dosbox 'netstat -an | more' doet en je heel veel connecties van jou machines naar andere machines poort 80 ziet.

vrijdag 20 juli 2001 15:15

Acties:

Verwijderd

Mischien ene ideetje om die server te beheren? Dat het allemaal in een keer werkt wil niet zeggen dat je dan ook klaar bent dus als je nu even bij MS de IIS documentatie over het securen van je server afhaalt en de instructies opvolgt dan heb je ook geen last meer van dit soort dingen

Wim

vrijdag 20 juli 2001 15:40

Acties:

vrijdag 20 juli 2001 16:18

Electric Monk

Zucht..

Misschien een ideetje om nooit meer grof geld te betalen voor serversoftware die 'out of the box' door elk scriptkiddie te rooten is?

[domme vergelijking modus aan]
"Ja, mijnheer, jammer van dat ongeluk met uw auto waarbij u 74 botten brak. U had natuurlijk na aanschaf meteen zelf de remmen moeten aansluiten zoals op onze website staat"
[domme vergelijking modus uit]

In de categorie dingen die wél terzake doen:
CERT is geïnteresseerd in de verspreiding van deze worm, ik heb dus even de output van
grep 'default.ida' access_log | perl -nle 'print $1 if /^([0-9.]+)/' |sort | uniq
gemaild naar cert@cert.org met als subject [CERT#36881]

Whenever you find that you are on the side of the majority, it is time to reform.

Acties:

Verwijderd

Even met een browser naar een aantal ip's uit de log van onze Firewall geweest en het eerste ip wat ik probeer is gelijk een hele leuke.

07/20/2001 00:12:18 64.57.182.133 195.11.xxx.xxx Denied packet 3/+00:10 (ports 2503, 80) tcp

64.57.182.133 = georgewbush.com

Omdat onze Firewall alleen logt dat er een request op poort 80 is en niet wat er dan gerequest wordt weet ik niet zeker of 64.57.182.133 ook slachtoffer is geweest van CODE RED maar het lijk er wel veel op. Hoewel ik mij niet kan voorstellen dat zo een site op IIS draait.

Verder zijn er veel andere de klos ik had er gisteren zo een 100 en vandaag zitten we al op z'n 80 unieke ip's.

Placebo

vrijdag 20 juli 2001 16:33

Acties:

vrijdag 20 juli 2001 17:36

446 stuks hier

root@alpha:/opt/itxl/logs# grep default.ida * | wc -l
446

Acties:

RvdH

Uitvinder van RickRAID

# cat access_log | grep default.ida | wc -l
20

En die bak staat pas 2 dagen aan

vrijdag 20 juli 2001 18:49

Acties:

vrijdag 20 juli 2001 20:33

hehehe LOL

van Apache Week:

If you are running Apache there is nothing to worry about, these requests are part of the Code Red Worm virus designed to search out vulnerable IIS servers running on Windows.

However if you'd like to become vulnerable to attacks such as this, Microsoft have a toolkit ( http://www.microsoft.com/ISN/downloads/migration_toolsp65238.asp ) that will let to migrate from Apache to IIS. (Allegedly the last step is append the text "3L33T crew ownz you" to the bottom of all your web pages to save the crackers some time)

Hoezo sarcasme

Acties:

Verwijderd

Op vrijdag 20 juli 2001 15:40 schreef Pinball het volgende:
Zucht..

Misschien een ideetje om nooit meer grof geld te betalen voor serversoftware die 'out of the box' door elk scriptkiddie te rooten is?

Het probleem hierachter is de MS filosofie dat zoveel mogelijk functionaliteit moet werken 'uit de doos'.
Dat betekent dat er dus op dat moment ook veel gaten zijn, daarom is er ook een docu van MS die je leert de boel netjes af te maken.
Alleen die leest niemand.
En vervolgens patchen ze ook niet
Dat is allemaal een beetje jammer. MS valt te verwijten dat ze niet een soort security wizard draaien of iets dergelijks. De beheerders valt te verwijten dat ze niet, uh, beheren.

Wim

zaterdag 21 juli 2001 14:54

Acties:

Verwijderd

Op vrijdag 20 juli 2001 20:33 schreef wverveen het volgende:

[..]

Het probleem hierachter is de MS filosofie dat zoveel mogelijk functionaliteit moet werken 'uit de doos'.
Dat betekent dat er dus op dat moment ook veel gaten zijn, daarom is er ook een docu van MS die je leert de boel netjes af te maken.
Alleen die leest niemand.
En vervolgens patchen ze ook niet
Dat is allemaal een beetje jammer. MS valt te verwijten dat ze niet een soort security wizard draaien of iets dergelijks. De beheerders valt te verwijten dat ze niet, uh, beheren.

Wim

Je zegt dat de beheerders te verwijten valt dat ze niet beheren... Wordt er in de MCSE cursus aandacht besteed aan het op en top securen van een IIS server? Misschien een beetje basic dingetjes maar verder ook niets. Microsoft brengt dus een UNSECURE product op de markt, de beheerders die dat product moeten gaan beheren worden NIET opgeleid om het product SECURE te maken. Dit heeft tot resultaat dat IIS + w2k gewoon een waardeloze investering is voor een bedrijf dat vele kopzorgen en cracks tot resultaat heeft.

Is het eigenlijk nodig dat de NSA een manual schrijft voor het securen van w2k platformen omdat Microsoft daar zelf te nalatig voor is? Of dat EEYE een pakket moet uitbrengen om IIS gaten te dichten/verhullen

/me laat zich nu een beetje gaan en is totaal offtopic, maar het wordt eens tijd dat de ogen open gaan van mensen en kiezen voor een Unix variant.

zaterdag 21 juli 2001 22:26

Acties:

Verwijderd

IIS gaten te dichten/verhullen

Waar je aan voorbij gaat is dat een goed ingeruchte server niet eens last van het gat had gehad en dat je ook geen probleem had gehad als je dat niet had gedaan maar wel de patch erop had gezet.

Er is op de microsoft site genoeg documentatie over te vinden, er zijn boeken, andere websites waar je documentatie kunt vinden en er zijn MCSE trajecten die beveiliging behandelen. Op teched van dit jaar was een parte sessie over dit onderwerp, die was errug basic maar daar passeerden dit soort dingen ook de revue.

De informatie is er gewoon, je moet het wel gebruiken.

Wim

zondag 22 juli 2001 09:07

Acties:

Verwijderd

Eerst patchen? Je ben toch helemaal van de pot gepleurd als ja als microsoft een produkt op de markt brengt wat je eerst nog moet afmaken? Dan ben je denk ik niet goed bezig. Je betaald al genoeg voor die shit, laat ze dan ook maar een compleet produkt leveren voor dat geld.

zondag 22 juli 2001 10:49

Acties:

LuCarD

Certified BUFH

Op zaterdag 21 juli 2001 14:54 schreef paniek_ het volgende:

[..]
/me laat zich nu een beetje gaan en is totaal offtopic, maar het wordt eens tijd dat de ogen open gaan van mensen en kiezen voor een Unix variant.

Tja... ik denk dat als mensen hun systeem niet up-to-date houden. Dan maakt het echt niet uit wat voor een OS je draait.
En Unix beheren is IMHO eenmaal duurder dan het beheren van Windows machine's.

Probeer maar eens een gecertificeerde/ervaren/bekwame (streep weg wat je niet noodzakelijk vind) Unix beheerder te krijgen....
Je vind eerder een goede MSCE-er. (ze bestaan

) Die netjes alle updates in de gaten houdt.

Programmer - an organism that turns coffee into software.

zondag 22 juli 2001 10:58

Acties:

zondag 22 juli 2001 11:04

Op zondag 22 juli 2001 10:49 schreef LuCarD het volgende:
Probeer maar eens een gecertificeerde/ervaren/bekwame (streep weg wat je niet noodzakelijk vind) Unix beheerder te krijgen....

gecertificeerde/ervaren/bekwame

Ik heb liever iemand die bekwaam is en ervaring heeft

Acties:

Verwijderd

LuCarD: Unix beheren is IMHO eenmaal duurder dan het beheren van Windows machines. Probeer maar eens een gecertificeerde/ervaren/bekwame (streep weg wat je niet noodzakelijk vind) Unix beheerder te krijgen. Je vind eerder een goede MSCE-er (ze bestaan ) die netjes alle updates in de gaten houdt.

Dat maakt Unix beheren nog niet duurder. Je slaat een paar stappen over in je redenering.

</off-topic>

zondag 22 juli 2001 11:06

Acties:

LuCarD

Certified BUFH

Op zondag 22 juli 2001 11:04 schreef Arien het volgende:

[..]

Dat maakt Unix beheren nog niet duurder. Je slaat een paar stappen over in je redenering.

</off-topic>

Oke.... ze zijn moeilijker te vinden. Dus duurder per uur... Dus het beheren van Unix server is duurder

Klopt het een beetje

Programmer - an organism that turns coffee into software.

zondag 22 juli 2001 11:14

Acties:

Verwijderd

LuCarD: Oke.... ze zijn moeilijker te vinden. Dus duurder per uur...

Waarschijnlijk ja.

Dus het beheren van Unix server is duurder...

... per man-uur.

Ik neem aan dat de ontbrekende stap in de redenering duidelijk is?

zondag 22 juli 2001 11:24

Acties:

ralfbosz

xm create bosz -c

Unix systeembeheerder zijn vooral duurder per uur, omdat als het eenmaal draait ze uit de neus zitten te vreten

in tegenstelling tot de MSCE'ers die maar update na update moeten installeren.

rm -r *

zondag 22 juli 2001 11:53

Acties:

zondag 22 juli 2001 14:11

Electric Monk

Op zondag 22 juli 2001 11:24 schreef ralfbosz het volgende:
in tegenstelling tot de MSCE'ers die maar update na update moeten installeren.

Moeten wel ja.. maar aangezien er volgens de laatste schattingen zo'n 250.000 servers besmet zijn met Code Red doen ze dat dus niet

Whenever you find that you are on the side of the majority, it is time to reform.

Acties:

Verwijderd

Op zondag 22 juli 2001 11:24 schreef ralfbosz het volgende:
Unix systeembeheerder zijn vooral duurder per uur, omdat als het eenmaal draait ze uit de neus zitten te vreten in tegenstelling tot de MSCE'ers die maar update na update moeten installeren.

Ja als ze dat steeds met het handje op al hun servers doen. Software distributie is niet voor niets uitgevonden. Als je maar een server hebt valt het werk wel weer mee en als je nou gewoon alle features die je NIET gebruikt UITZET dan hoeft je ook niet steeds te rennen als er iets aan de hand is.

Wim

zondag 22 juli 2001 14:20

Acties:

Verwijderd

Op zondag 22 juli 2001 11:14 schreef Arien het volgende:

[..]

Waarschijnlijk ja.
[..]

... per man-uur.

Ik neem aan dat de ontbrekende stap in de redenering duidelijk is?

Inderdaad. Een ervaren kracht doet veeeeel meer in een uur. Of het OS dan UNIX of Windows is maakt dan niet eens uit. Neem nou die code-red worm Allemaal mensen die nu aan het werk moeten. Ik heb SYSTEEMBEHEERDERS uit moeten leggen wat een hotfix is. Mensen blijken webservers te beheren en weten eigenlijk niet wat filesecurity is of hoe je een IIS server configureert.
Er is blijkbaar een misvatting dat je om het even welke webserver uit de doos kunt installeren en dat je dan klaar bent. Dat is niet zo en dat geldt voor Windows, Linux, Solaris etc. (en verschillende smaken webserverapp natuurlijk). Elk OS/Webapp heeft wel zo zijn zwakheden. En ja, ook apache. Deze discussie: http://www.security.nl/content.php3?page=reactie&id=1479 geeft al zoiets aan. En ook hier komt men tot de conclusie dat een beheerder verstand van zaken moet hebben

Wim

donderdag 26 juli 2001 13:22

Acties:

donderdag 26 juli 2001 15:24

en we gaan weer verder... KPN hosting is ook slachtoffer geworden.

http://www.nu.nl/document?n=37921

Code Red worm bijt KPN Hostings

Uitgegeven: 26-7-2001 12:09
Laatst gewijzigd: 26-7-2001 12:12

AMSTERDAM - Tientallen websites die draaien op de servers van KPN Hostings zijn verdwenen. Oorzaak is de 'Code Red' worm die hard heeft toegeslagen bij KPN. De meeste websites die zijn getroffen draaien inmiddels weer. Dit meldt Het Parool.

KPN Hostings gebruikt nu de servers van XS4all voor hun klanten. Webmasters die zo verstandig zijn geweest om backups van hun files te maken, hebben hun sites weer online. Voor degenen die dit niet hebben gedaan is de 'Code Red' aanval veel zuurder; alle informatie die op de webservers stond moet als verloren worden beschouwd.

Vorige week kwam de 'Code Red' worm voor het eerst boven. Honderdduizenden webservers zijn inmiddels aangevallen door het virus. Onder andere de site van het Witte Huis werd aangevallen, maar deskundigen wisten de aanval te verijdelen.

Minder succesvol waren de beheerders van de websites van de Amerikaanse marine en dus ook die van KPN Hostings.

Acties:

Verwijderd

Op donderdag 26 juli 2001 13:22 schreef The Source het volgende:
[..]

je zou toch verwachten dat dergelijk grote ondernemingen toch wel mensen in dienst zou hebben die dit toch wel kunnen voorkomen

donderdag 26 juli 2001 15:26

Acties:

jep

Heb er zooooooooveel op mn linux servers, wel lachen

donderdag 26 juli 2001 16:37

Acties:

Verwijderd

Yes.. dacht dat ze mij gingen overslaan.. maar na wat logfiles doorspitten toch maarliefst 15640 van die dingen gevonden, flink wat extra hits, leuk voor de stats

Hoe komt die worm eigenlijk aan al die hostnames en/of ip nummers?

donderdag 26 juli 2001 17:09

Acties:

jellyshock

ik weet het niet hoor, maarrrr

bij mij op m'n linux servertje is de lijst ook eindeloos...:

code:

213.215.9.4 - - [15/Jul/2001:11:05:59 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
62.110.142.9 - - [15/Jul/2001:12:49:07 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.11.132.234 - - [15/Jul/2001:15:07:51 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.128.107.188 - - [15/Jul/2001:15:10:05 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.216.162.14 - - [15/Jul/2001:16:43:40 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.104.33.206 - - [15/Jul/2001:16:53:01 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
194.248.82.204 - - [15/Jul/2001:18:01:20 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
65.164.91.4 - - [15/Jul/2001:19:07:51 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [15/Jul/2001:19:18:58 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [15/Jul/2001:19:21:55 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [15/Jul/2001:19:26:48 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [15/Jul/2001:19:31:50 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [15/Jul/2001:19:36:48 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.185.212.203 - - [15/Jul/2001:20:00:10 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.209.47.230 - - [15/Jul/2001:21:49:02 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
198.87.84.140 - - [16/Jul/2001:02:43:54 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
206.81.198.95 - - [16/Jul/2001:05:22:25 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
202.62.128.8 - - [16/Jul/2001:07:59:10 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
194.185.232.18 - - [16/Jul/2001:09:11:40 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
65.195.46.1 - - [16/Jul/2001:10:53:05 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
213.120.229.72 - - [16/Jul/2001:11:52:23 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.79.127.201 - - [16/Jul/2001:15:08:32 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
129.219.16.195 - - [16/Jul/2001:16:45:06 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
65.166.240.3 - - [16/Jul/2001:19:37:25 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
194.52.251.10 - - [17/Jul/2001:00:36:14 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.212.210.2 - - [17/Jul/2001:03:02:50 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [17/Jul/2001:03:14:57 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
165.254.145.2 - - [17/Jul/2001:04:40:59 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.42.214.193 - - [17/Jul/2001:10:27:23 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.11.18.235 - - [17/Jul/2001:11:35:34 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
205.211.128.251 - - [17/Jul/2001:11:39:06 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.61.156.82 - - [17/Jul/2001:13:47:58 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [17/Jul/2001:15:45:35 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [17/Jul/2001:15:50:36 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [17/Jul/2001:15:55:35 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [17/Jul/2001:16:00:36 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
161.7.30.10 - - [17/Jul/2001:16:05:35 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.202.130.227 - - [17/Jul/2001:18:40:04 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
206.111.219.90 - - [17/Jul/2001:20:42:48 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
210.219.251.175 - - [18/Jul/2001:00:21:29 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
210.70.212.13 - - [18/Jul/2001:01:22:39 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
38.253.200.22 - - [18/Jul/2001:05:21:54 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
65.197.214.21 - - [18/Jul/2001:06:33:25 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
209.92.233.5 - - [18/Jul/2001:08:26:26 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
202.108.251.3 - - [18/Jul/2001:11:09:39 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
62.132.30.76 - - [18/Jul/2001:11:11:10 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
216.205.150.154 - - [18/Jul/2001:14:17:26 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
210.12.78.33 - - [18/Jul/2001:15:20:22 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
66.7.128.252 - - [18/Jul/2001:17:13:43 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
202.108.223.46 - - [18/Jul/2001:18:31:56 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
213.88.183.10 - - [18/Jul/2001:20:16:34 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
194.69.195.228 - - [19/Jul/2001:02:48:44 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
217.33.72.94 - - [19/Jul/2001:03:13:01 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

wel geinig

aAarGhh

donderdag 26 juli 2001 17:14

Acties:

Rukapul

Op donderdag 26 juli 2001 16:37 schreef griebels het volgende:
Hoe komt die worm eigenlijk aan al die hostnames en/of ip nummers?

IP nummers werden random gegenereerd. Gelukkig zat er een fout in de worm waardoor telkens dezelfde seed werd gebruikt en telkens dezelfde servers werden aangevallen. Later is er een tweede versie van de worm verschenen die wel een random seed gebruikte en dus meer verschillende IP nummers genereerde.

Overigens kwam ik gisteren via slashdot een link tegen naar een artikel (http://www.caida.org/analysis/security/code-red/) dat ook grafisch weergeeft hoe de verspreiding in z'n werk is gegaan. Erg boeiend

Afbeeldingslocatie: http://www.caida.org/analysis/security/code-red/newframes-small-log.gif

donderdag 26 juli 2001 17:31

Acties:

Verwijderd

Op donderdag 26 juli 2001 13:22 schreef The Source het volgende:
en we gaan weer verder... KPN hosting is ook slachtoffer geworden.

Dit bericht is totaal uit de lucht gegrepen.
Ik ben zelf beheerder van diverse sites van klanten bij KPN.
Uit voorzorg zijn 's avonds een paar machines via de firewall buitenspel gezet omdat deze vanaf buiten zoveel verkeer te voorduren kregen dat andere klanten daar last van zouden kunnen krijgen..

donderdag 26 juli 2001 17:45

Acties:

WHiZZi

Museumdirecteurtje

Ook last van.. Maarja, Apache

onder Linux

geen centje pijn..

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

dinsdag 31 juli 2001 00:37

Acties:

Verwijderd

Ik kreeg vandaag een nogal paniekerig overkomende Security Bulletin van Microsoft over de Code Red worm in mijn mail, met de titel "URGENT MICROSOFT SECURITY ANNOUNCEMENT" (caps van Microsoft zelf). Voor de geïnteresseerden heb ik de tekst in het volgende bericht gequoot:

Algemeen virus topic (vierde posting op pagina 11).

/me , nu heb ik in elk geval de waarschuwing in I&T, HWS, en SA staan. Sorry voor de x-post, maar het leek me belangrijk.

dinsdag 31 juli 2001 01:20

Acties:

Verwijderd

code:

1 2	[root@nivedita logs]# grep default.ida * \| wc -l 189

Redelijk wat dus

woensdag 1 augustus 2001 21:40

Acties:

woensdag 1 augustus 2001 21:48

Op dinsdag 31 juli 2001 01:20 schreef [nielsonline] het volgende:
code:
1
2
[root@nivedita logs]# grep default.ida * | wc -l 
    189
Redelijk wat dus

Kinderservertje

code:

1 2	root@alpha:/opt/itxl/logs# grep default.ida * \| wc -l 1016

Logfile is max 1 week oud..

Acties:

Verwijderd

damn ik heb gewoon nog steeds nix in me logfiles....

woensdag 1 augustus 2001 21:58

Acties:

woensdag 1 augustus 2001 22:52

ik ook nog niet... ik snap er geen reet van. Ze slaan me weer over

Acties:

Janoz

Moderator Devschuur®

!litemod

Ik heb er al tien

.. Heb trouwens ook ff een scriptje gemaakt (kun je hier aan het werk zien) waarmee ik op afstand m'n log kan checken.

source:

PHP:

<?
 ?>
<HTML>
<HEAD>
<TITLE>Code red attacks</TITLE>
</HEAD>
<BODY>
The list below is a live grep on default.ida from my apache logs:<br>
<table border=1>
<tr><th>IP</th><th>Time</th></tr>
<?
exec("/bin/grep 'default.ida' /var/log/httpd/access_log | /usr/bin/cut -d' ' -f1-5",$list);
for ($i=0;$i<sizeof($list);$i++) {
  echo "<tr><td>".str_replace("- -","</td><td>",$list[$i])."</td></tr>";
}
?>
</table>
Total:<? echo sizeof($list); ?>
</BODY>
</HTML>
<? 
?>

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 1 augustus 2001 23:00

Acties:

Verwijderd

Ik heb er maar 6

Edit: inmiddels 65 and counting...

woensdag 1 augustus 2001 23:15

Acties:

Verwijderd

Op donderdag 26 juli 2001 16:37 schreef griebels het volgende:
Hoe komt die worm eigenlijk aan al die hostnames en/of ip nummers?

ik d8 @random, maar ik snap er nix van ik heb 3 ip's en geen van alle is een poging geweest...zeer waarsch checkt ie maar een bepaalde range @random (bv als ie zelf op een ip zit 210.171.221.15 ie alles checkt met 210.171.*.* oid)

donderdag 2 augustus 2001 08:39

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Eerst dacht ik dat Sircam aan mij voorbij ging. Gelukkig werd ik uieindelijktoch nog bedolven

(Niet dat het uitmaakt, GroupWise icm Norton maakt m'n e-mailgebruik redelijksafe).

Zag gisteravond ook ineens een paar van die rare meldingen in de logfils staan:

hac010.airnet.ne.jp - - [19/Jul/2001:17:29:50 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
netops.valencia.cc.fl.us - - [19/Jul/2001:18:35:13 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
211.188.132.235 - - [19/Jul/2001:19:20:14 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
ppp-157-138.20-151.libero.it - - [01/Aug/2001:15:09:00 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
203.246.71.16 - - [01/Aug/2001:15:44:25 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
www.whayu.com.tw - - [01/Aug/2001:18:54:35 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
208.187.131.66 - - [01/Aug/2001:18:54:42 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
193.92.95.194 - - [01/Aug/2001:19:39:39 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
64.232.37.77 - - [01/Aug/2001:20:37:32 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
61-218-245-220.HINET-IP.hinet.net - - [01/Aug/2001:20:42:00 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
203.167.92.252 - - [01/Aug/2001:22:02:37 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
211.62.36.104 - - [01/Aug/2001:22:17:35 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
211.23.187.115 - - [01/Aug/2001:22:17:53 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
cr941490-a.hnsn1.on.wave.home.com - - [01/Aug/2001:22:51:29 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
63-217-77-219.sdsl.cais.net - - [01/Aug/2001:23:02:16 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
npo-physics.rmt.ru - - [01/Aug/2001:23:48:10 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
h00104b5ed226.ne.mediaone.net - - [01/Aug/2001:25:19:04 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
sys-216.114.76.178.primarynetwork.com - - [01/Aug/2001:25:21:51 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
202.107.204.104 - - [01/Aug/2001:25:46:43 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
61.139.134.57 - - [02/Aug/2001:03:17:38 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
203.253.15.72 - - [02/Aug/2001:03:52:41 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
200.65.8.107 - - [02/Aug/2001:04:00:46 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
ext-147-234-56-24.ecitele.com - - [02/Aug/2001:04:28:59 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
c1155428-a.laporte1.in.home.com - - [02/Aug/2001:06:42:36 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924
TK212017072142.wu-wien.teleweb.at - - [02/Aug/2001:07:21:22 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 3924

Tijd voor een nieuwe sig..

donderdag 2 augustus 2001 18:05

Acties:

vrijdag 3 augustus 2001 12:08

Electric Monk

Op woensdag 01 augustus 2001 23:15 schreef Kertje het volgende:

[..]
zeer waarsch checkt ie maar een bepaalde range @random (bv als ie zelf op een ip zit 210.171.221.15 ie alles checkt met 210.171.*.* oid)

zeer waarsch was ie dan nooit uit z'n eigen B-klasse gekomen

Ik gok dat alle 4 de octets random zijn.

Whenever you find that you are on the side of the majority, it is time to reform.

Acties:

smoove

dit vond ik onder andere in mijn logfiles

GET /scripts/..Á%8s../winnt/system32/cmd.exe /c+dir 404 -
GET /scripts/..ü€€€€¯../winnt/system32/cmd.exe /c+dir 404 -
gelukkig heb ik mijn root directory niet in C:

en honderden malen die
default.ida request van ip's overal ter wereld

---

vrijdag 3 augustus 2001 12:25

Acties:

Verwijderd

Op donderdag 02 augustus 2001 18:05 schreef Pinball het volgende:

[..]

zeer waarsch was ie dan nooit uit z'n eigen B-klasse gekomen
Ik gok dat alle 4 de octets random zijn.

hmmm jah maar het is toch niet helemaal rqndom somehow, want hoe verklaar je dat sommige 5000 try's in hun log hebben staan en ik bv geen:) ?

vrijdag 3 augustus 2001 17:56

Acties:

zondag 5 augustus 2001 20:03

Electric Monk

Op vrijdag 03 augustus 2001 12:25 schreef Kertje het volgende:

[..]

hmmm jah maar het is toch niet helemaal rqndom somehow, want hoe verklaar je dat sommige 5000 try's in hun log hebben staan en ik bv geen:) ?

Op vrijdag 20 juli 2001 10:04 schreef Pinball het volgende:

fuck.. lees net dat al die machines dezelfde randomgenerator gebruiken om ip adressen te bouwen.

zie bovenaan in dit topic dus.

Whenever you find that you are on the side of the majority, it is time to reform.

Acties:

Eegee

Ik snap niet helemaal wat nu precies de worm 'is'. Is dit nu alle code voor de worm? :

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3
%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090
%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078
%u0000%u00=a

Dat zijn zeker unicode tekens of zo(?), dus dan zijn dat maar 23 tekentjes. Doen die 23 tekentjes nou allemaal (globaal gezegd):
- 100 threads opstarten
- IP berekenen
- connecten op poort 80
- rekening houden met datum
- www-pagina veranderen in geheugen
- (oude) ip adres van www.whitehouse.gov flooden

Dat kan toch zeker niet in 23 tekens ? Dus wat doet dit GET request dan nu precies ? De worm moet dan toch nog op die exploited webserver komen, of niet ? Wordt ie soms pas verstuurd als het resultaat van die GET request binnen is (HTTP 200 OK ipv HTTP 404 ?) Dus hoe werkt 't nou...?

zondag 5 augustus 2001 20:10

Acties:

Verwijderd

root@router:/var/lib/apache/logs# less access_log | grep default.ida | wc -l 44

Op me thuis gateway ruk!!!!!

root@main:/var/lib/apache/logs# less www.xxxx-xx.nl.log | grep default.ida | wc -l
167

En dit op een www server gewoon een lame virtualhost!

zondag 5 augustus 2001 21:54

Acties:

Aaargh!

Bow for me for I am prutser

Op zondag 05 augustus 2001 20:03 schreef Eegee het volgende:
Ik snap niet helemaal wat nu precies de worm 'is'. Is dit nu alle code voor de worm? :

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3
%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090
%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078
%u0000%u00=a

Dat zijn zeker unicode tekens of zo(?), dus dan zijn dat maar 23 tekentjes. Doen die 23 tekentjes nou allemaal (globaal gezegd):
- 100 threads opstarten
- IP berekenen
- connecten op poort 80
- rekening houden met datum
- www-pagina veranderen in geheugen
- (oude) ip adres van www.whitehouse.gov flooden

Dat kan toch zeker niet in 23 tekens ? Dus wat doet dit GET request dan nu precies ? De worm moet dan toch nog op die exploited webserver komen, of niet ? Wordt ie soms pas verstuurd als het resultaat van die GET request binnen is (HTTP 200 OK ipv HTTP 404 ?) Dus hoe werkt 't nou...?

Nee, de eigenlijke GET request is veel langer, maar dat komt niet allemaal in je logfile.

wat er gebeurt is het volgende:

IIS heeft een stuk geheugenruimte gereserveert voor de input , de GET request dus, deze geheugenruimte heeft een maximale lengte. als je invoer binnenkrijgt moet je dus checken of de input binnen deze ruimte past (anders schrijf je in een ander geheugengebied)
nu hebben ze dus in IIS (in die module met die bug dus) deze check vergeten (Beginnersfout).
wat er dus gebeurt is dat er een request komt, die de hele buffer opvult (het NNNNNN deel) en daarna een stuk programmacode overschrijft.
de worm overschrijft dus een deel van de IIS programmacode

Those who do not understand Unix are condemned to reinvent it, poorly.

zondag 5 augustus 2001 22:51

Acties:

Verwijderd

Op vrijdag 20 juli 2001 00:18 schreef Wesman het volgende:
vandaag zie ik in mijn logfile de volgende rare GET request staan:

GET /default.ida NNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 404 2 604 4039 130 80 HTTP/1.0 - - -

Deze worden over een tijd van 4 uur door 17 verschillende IP adressen gedaan. Het is maar een regel per ip adres. Mijn site wordt niet veel bezocht dus deze stonden onder elkaar.

Heeft iemand een idee wat dit is..??

is gewoon Code Red

zondag 5 augustus 2001 23:42

Acties:

Verwijderd

We hebben hier voor de grap default.ida op de server gezet maar dat is eigenlijk een php script wat een mail verstuurd, sinds gisteren heb ik er zeker nog een dikke 50 gehad.

Stopt dat code red nog een keer of zijn dit allemaal lame script kiddies die aan het spelen zijn?

zondag 5 augustus 2001 23:46

Acties:

Verwijderd

Wat dacht je van veel lame thuisgebruikers met IIS die niet gepatched is?

Veel requests komen namelijk van thuisgebruikers af (veel @HOME en Chello IP's)

zondag 5 augustus 2001 23:49

Acties:

maandag 6 augustus 2001 10:26

code:

1 2	root@alpha:/opt/itxl/logs# grep default.ida * \| wc -l 7227

Acties:

RvdH

Uitvinder van RickRAID

<--

maandag 6 augustus 2001 12:09

Acties:

Eegee

Op zondag 05 augustus 2001 21:54 schreef Aaargh! het volgende:
[..]

Nee, de eigenlijke GET request is veel langer, maar dat komt niet allemaal in je logfile.

wat er gebeurt is het volgende:

uitleg

Bedankt voor je reply. Ik snapte dat van je uitleg allemaal al wel (met die buffer die overloopt en programmacode overschrijven) alleen wist ik dus niet (zeker) dat die GET request nog veel langer was.

Maar nu snap ik dat de rest van de code van de worm er nog achter komt en ik die niet zie in m'n logfile.

maandag 6 augustus 2001 17:47

Acties: