Red-Worm in logfile - Serversoftware en clouddiensten

vrijdag 3 augustus 2001 12:04

Acties:

Topicstarter

Dag mannen,

na het bestuderen van mijn IIS-logfikes kwam ik tot de ontdekking dat ook mijn server is aangevallen door de worm. Hoe kan ik zien of mijn systeem besmet is? Alles werkt nog perfect (ook in iis staan geen gekke dingen). de server is ruim optijd gepatch en is beveiligd met een goede vuurmuur!

In de logfiles kwamen ongeveer een 100 tal regeld voor met een code gevolgt door www.worm.com

Al vast bedankt!

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...

vrijdag 3 augustus 2001 12:30

Acties:

Verwijderd

Tja.. dan is er nix aan de hand zegmaar... Als je door Code Red bent besmet merk je dat vanzelf wel als je naar de div. websites op je webserver surft

vrijdag 3 augustus 2001 16:36

Acties:

Zware Unit

Topicstarter

Heb alle dirs doorgelopen, tevens een zoekfunctie in reg en andere delen van het systeem. Niks te vinden. Heeft iemand nog tips waar te zoeken of ervaring met the "Worm"!!!!!!

Al vast een prettig weekend, dag werk, ik ga naar huis! Binnenkort trouwens hal2001, wordt weer leuk mannen!!!! secure your servers! hahahahhahahaa

... all gonna wonder how you ever thought you could live so large and leave so little for the rest of us...

zaterdag 4 augustus 2001 16:08

Acties:

Janoz

Moderator Devschuur®

!litemod

Als je besmet bent door de worm kun je dit achterhalen door te kijken naar de verbindingen. De worm probeert in 100 threads anderen te besmetten. Als je (volgens mij kon dit met netstat.exe) allemaal onbekende verbindingen naar poort 80 van onbekende servers ziet, ben je mischien toch besmet.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

zaterdag 4 augustus 2001 16:17

Acties:

Verwijderd

Mijn Apache heeft inmiddels ook een stuk of 100 "aanvallen" gehad, maar in de log zag ik geen "www.worm.com" staan, alleen dat vage GET default.ida enz.

zaterdag 4 augustus 2001 16:28

Acties:

MAZZA

Barbie is er weer!

Iedereen wordt aangevallen door die worm. Maar zolang je pagina's niet defaced zijn en je default.ida niet heb draaien is er niks aan de hand.

Trouwens je kan die patch downloaden dan weet je het zeker. En al was je g3h4x0r3d (l337

) dan is 1 reboot genoeg om alles ongedaan te maken meen ik.

Zie hier voor meer info over die patch

zaterdag 4 augustus 2001 16:31

Acties:

happy3736

kijkt die code red niet eerst of het een unix of MS bakkie is

bespaart hem veel werk

maandag 6 augustus 2001 10:33

Acties:

Creepy

Tactical Espionage Splatterer

Op zaterdag 04 augustus 2001 16:31 schreef happy3736 het volgende:
kijkt die code red niet eerst of het een unix of MS bakkie is

bespaart hem veel werk

Deed die dat maar... had weer gescheeld in m'n logfiles

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

maandag 6 augustus 2001 10:57

Acties:

Verwijderd

[topic=188112]

kijk deze maar eens. Nu zijn er 2 topics over!

maandag 6 augustus 2001 11:11

Acties:

Janoz

Moderator Devschuur®

!litemod

Op zaterdag 04 augustus 2001 16:31 schreef happy3736 het volgende:
kijkt die code red niet eerst of het een unix of MS bakkie is

bespaart hem veel werk

Denk het niet. Hij stuurt nu gewoon een get request (1tje dus) en ziet wel of het wel of niet werkt. Als ie eerst nog zou moeten controleren op OS zou ie 2x een request moeten doen. 1x voor os, en 1x voor worm. Je zou dan nog steeds volle logs krijgen, maar nu met 'os-request'

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

maandag 6 augustus 2001 17:55

Acties:

ACM

Software Architect

Werkt hier

Dubbelpost