Nabeschouwing Code Red worm
Donderdag was het zover, in de vroege avond begon een steeds sterker aanzwellende
stroom van scans, afkomstig van door de Core Red worm die gebruik maakt van een fout in de Microsoft IIS server, zich over
het internet te verspreiden. Sommige providers zagen meerdere pogingen per seconde afkomstig van verschillende machines. Op sommige netwerken was het aantal HTTP-aanvragen dat door de worm werd gegenereerd hoger dan het aantal legitieme aanvragen.
Ondanks de tekenen is er te laat gereageerd door instanties als NIPC, SANS en CERT.
Op 17 juli
On 07/13 I detected 611 worm probes from 27 unique IP addresses.
On 07/14 I detected 36273 worm probes from 1076 unique IP addresses.
On 07/15 I detected 215020 worm probes from 3498 unique IP addresses.
On 07/16 I detected 316828 worm probes from 6137 unique IP addresses.
On 07/17, for just the first 7.5 hours, I have detected 108428 worm
probes from 4712 unique IP addresses.
Op woensdag was er een diepgaande analyse door het bedrijf eEye beschikbaar.
Een kleine berekening had al kunnen laten zien dat dit uit de hand ging lopen.
We mogen nog van geluk spreken dat de worm nog relatief onschadelijk was en
bovendien op sommige punten knullig geprogrammeerd. Zo was de geplande aanval op de site van het Witte Huis eenvoudig te vermijden omdat men het ip-nummer van deze site statisch in het programma had gezet. Bij de volgende zal dat misschien niet meer zo zijn en gaat het Internet misschien echt stuk. Er gaan al gewijzigde exemplaren van de worm over het net. De originele worm zal vanaf vandaag geen nieuwe machines meer besmetten, maar zich geheel richten op het aanvallen van de site van het Witte Huis. Vanaf de 1e van de volgende maand zal de worm weer gaan besmetten en begint het weer opnieuw.
Russ Cooper van de NTbugtraq beveiligingssite roept op tot een 'Secured IIS' project om 'alle IIS servers dicht te zetten'. Een prijzenswaardig initiatief, maar waar toch een sterk kalf en put smaakje aan zit. Men kan zich afvragen of mensen na maanden, zelfs jaren, waarschuwingen te hebben genegeerd nu ineens wel gaan luisteren.
Ook de media laten het vandaag afweten. Terwijl dit toch wel 1 van de grootste globale
worm-incidenten is die wij tot nu toe gezien hebben, zwijgt men in alle talen. Is het misschien te ingewikkeld?
En Microsoft? Geen woord van dit bedrijf tot nu toe, behalve de mededeling dat de winst weer gestegen was.
Voor degene die verder wil lezen nog wat links:
DE PATCH VOOR IIS
Als je de scriptmappings voor .ida .idq en .idc verwijdert heb je ook nergens last van. Het is daarnaast niet zo verstandig op een publieke server iets anders dan engels te draaien, dat is de beste manier om een beetje bij te blijven.
CERT waarschuwing:
"Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
Archiefbeeld kraak Microsoft Windows Update site. (vertrouwt u de spullen die automatisch op uw pc worden geinstalleerd?)
Ik kan me nog niet voorstellen wat er gebeurt zou zijn als men gewoon een lookup zouden door voor het ip van whitehouse.gov ;)
Wat een irritant beestje die code red ...
maar het ligt ook aan de beheerders... als iemand zich al niet interesseert om zijn NT servers secure te houden laat ze dan ajb niet met unix systemen gaan klooien...
Wat nuttige links:
http://www.microsoft.com/security/
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/iischk.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/tools.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/iis5chk.asp
Hier staan onder meer de IIS checklists. Lees die nou eens zou ik elke beheerder willen vragen. Ik wil niet beweren dat het daarna echt superpotdicht is maar je bent een heel eind
Het is niet eens zoveel werk een basisbeveiliging aan te leggen. Doe dat dan ook!
Wim
Probleem is dat er te veel reklameburootjes plots websites maken, en hosten.... nou ja, hosten... 'zichtbaar op het internet maken' is beter..
Paul
If you are running Apache there is nothing to worry about, these requests are part of the Code Red Worm virus designed to search out vulnerable IIS servers running on Windows.
However if you'd like to become vulnerable to attacks such as this, Microsoft have a toolkit ( http://www.microsoft.com/ISN/downloads/migration_toolsp65238.asp ) that will let to migrate from Apache to IIS. (Allegedly the last step is append the text "3L33T crew ownz you" to the bottom of all your web pages to save the crackers some time)
:D
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.