Nieuws
image

Nieuwe Code Red golf komt langzaam op gang

woensdag 1 augustus 2001, 17:07 door Redactie, 15 reacties

Nu de Code Red worm vannacht om 2:00 weer tot leven is gekomen stijgt het aantal besmettingen nog gestaag per uur. Incidents.org meldt momenteel ca. 15.000 besmette servers wereldwijd en zet het 'threat level' weer op geel. Ook security.nl genereert in samenwerking met providers in Nederland statistieken van de besmetting.

Hier is duidelijk te zien dat het aantal besmette servers nog ieder uur stijgt. Veel scans lijken afkomstig uit het verre oosten, waar het media offensief kennelijk niet is doorgedrongen.

Reacties (15)
01-08-2001, 22:47 door Anoniem
Ik heb hier een heel klein (en nauwelijks bekend) servertje draaien. Op 19 juli kreeg ik 15 maal Code Red op bezoek. Nu al weer 9 maal. De eerste kwam binnen om 17:00. Het lijkt erop, dat de golf toch sneller op gang komt dan vandaag in de pers werd gesteld. Hebben anderen dezelfde ervaring?

Jan Ehrhardt
01-08-2001, 23:05 door Anoniem
Ik heb nu zo'n 30 requests te pakken. Eerste begon bij mij om 13.23 vanaf 66.6.14.32. Ik heb veel hits te pakken uit Azie. Taiwan en Japan scoren hoog % gezien. /me is blij dat ie een echt OS draait :)
01-08-2001, 23:20 door Anoniem
Hier begonnen om 13:30

tot nu toe 57 hits (al onze IPs), wordt steeds drukker...
02-08-2001, 00:05 door Anoniem
Systeembeheerders die hun dozen nu nog niet gepatched hebben mogen ze wat mij betreft ontslaan ofzo, want afgezien van het feit dat de worm al lang en breed bekend is wordt ik nogal ziek van al die media-onzin die daardoor in stand gehouden wordt.

Scriptkiddies kunnen zo ook een lijst vergaren door hun logfiles uit te pluizen. dozen die nu (ondanks de media bekendheid) niet gepatched zijn zullen imho ook niet gepatched zijn tegen andere (toekomstige) zaken, dus wie nu zn lijsten bijhoudt kan later zn slag slaan.

Zelf heb ik ook zo'n lijst met unieke ipnummers, sinds 1 augustus 3389 unieke ip nummers gelogd. Alhoewel ik ze nog allemaal door de resolver heen moet draaien valt het me op dat er (steekproefgewijs) relatief weinig .nl hosts tussen zitten.

En dan tot slot nog een quote van een CNN-reporter: "but thank god there's a freeeeeee patch you can download at microsoft's page".
02-08-2001, 00:09 door Anoniem
het is nu 2 aug 00:10 en krijg ongeveer 15 hits per minuut.
02-08-2001, 00:56 door Anoniem
Er staan live stats van 1 server op www.dutchthreat.nl.
Alleen vandaag al bijna de helft van de gehele vorige maand.
02-08-2001, 11:31 door Anoniem
Ik heb een "Code Red Monitor" draaien, om in de gaten te houden welke servers mij proberen te besmetten met Code Red.

Dit programma draait nu ongeveer een uur, en ik heb nu 3 requests gehad betreffende Code Red.

Opvallend was alleen, dat ik ook nog eens 3 requests kreeg van machines die niet door Code Red besmet waren, maar wel probeerden te connecten.

Het ging hier in alle 3 de gevallen om webservers, en zeker 2 van de 3 waren vurnable voor de CGI-UNICODE exploit.

Is er nog een worm actief?


vertig0
02-08-2001, 11:56 door Anoniem
Vanmorgen half 10 had ik er 15, nu 18.

Op mijn werk hadden we er 111, nu 135.
02-08-2001, 13:40 door Anoniem
Vorige golf had ik er 17, in deze golf vanmorgen (7:00) al 13. Echter, op OS/2 doet-ie niets...!
02-08-2001, 16:24 door -ird-
Inmiddels is het aantal Code Red alerts aanzienlijk toegenomen. Enkele tientallen per minuut (op één klasse C netwerk).
Overigens voor de mensen die Snort (1.7?) gebruiken: als je een stijging van web-cgi_http-cgi-pipe attacks ziet, zijn dat waarschijnlijk ook Code Red attacks.
02-08-2001, 16:58 door Anoniem
sinds 06:00 vanochtend 13288 hits geregistreerd.

En dat is op 1 ipnummer, geen hele C klasse.
02-08-2001, 18:21 door Anoniem
Volgens http://www.incidents.org is het aantal besmette systemen nu (2/8 18:00h) 238.967. We zitten nog maar 10% onder het peil van 19 juli. En die worm blijft nog t/m 19 augustus actief, voordat hij weer even gaat slapen. Tel uit je winst ;-)
02-08-2001, 21:27 door Anoniem
Op 4 IPjes heb ik in totaal een kleine 200 gevallen van Code Red in mijn logs gevonden...
02-08-2001, 22:20 door Anoniem
grep -c 'NNNNNNN' access_log
81

Incidents.org: 267,631 probes...
03-08-2001, 11:47 door hzlz
De vertraging van het internet vorige maand was niet te weiten aan Code Red maar aan een trein die ontspoorde in een tunnel en die een aantal kabel vernietigde. Lees meer op http://news.bbc.co.uk/hi/english/sci/tech/newsid_1470000/1470246.stm :

"On 18 July just as Code Red was starting to scan for vulnerable web servers, a CSX train carrying hazardous materials was derailed in the Howard Street tunnel in Baltimore.

The derailment and subsequent fire severed cables running through the tunnel used by seven of the biggest net service providers to swap data.

These companies started reporting disruption to the usual running of the net just as Code Red was hitting its stride, leading many people to assume that the worm was doing the damage.

Analysis by Keynote has shown that even at its height, Code Red posed no threat to the running of the net.

"The 19 July Internet Slowdown was NOT due to the worm," it said bluntly in a statement.

"There was no exponential ramp-up of performance degradation during the day or preceding days that would have coincided with the proliferation of the worm," it said, "but a sudden spike in performance that coincided with the time of the train wreck."

Similarly when the worm started scanning again yesterday it did not disrupt the working of the internet.

"We see no significant performance changes on either high or low bandwidth connections, or internationally," said Keynote. "

[URL=http://news.bbc.co.uk/hi/english/sci/tech/newsid_1470000/1470246.stm]http://news.bbc.co.uk/hi/english/sci/tech/newsid_1470000/1470246.stm[/URL]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search