Code Red variant verspreidt zich snel, brengt backdoor aan
Updated 22:35
Een nieuwe variant van de Code Red worm die zich via lekke Microsoft IIS servers voortplant
verspreidt zich zeer snel. Vanaf zaterdagmiddag 16:00 is er een scherpe toename van het aantal inbraakpogingen per uur te zien.
De nieuwe worm is te herkennen aan de lange opeenvolgende reeks van X-tekens; bij de oude
worm waren dat N-tekens:
213.65.x.x - - [ 4/Aug/2001:22:23:47 +0200] "GET http://x.x.x.x/default.ida?XXXXXXXXXXXXX
De nieuwe worm is volgens een analyse van Securityfocus
geen variant op Code Red, maar een nieuw kwaadaardige programma dat hetzelfde lek als Code Red gebruikt. Desalniettemin wordt gesproken over Code Red II.
CodeRed II verspreid zich bij voorkeur via dezelfde ip-adresruimte van de tijdelijke gastheer. Codered II laat
een copie van cmd.exe onder de naam root.exe in de scripts
directory van de IIS webserver achter, waardoor iedereen
via de aldus aangebrachte interactieve toegang tot deze server kan krijgen. Braddock Gaskil beschrijft hoe een kwaadwillende persoon toegang tot honderdduizenden
servers kan krijgen en deze kan inzetten voor bijvoorbeeld een DDoS aanval.
Dezelfde patch als voor CodeRed v1 gold geldt ook voor CodeRed II. Mensen die hun systemen nog niet gepatched hebben zijn waarschijnlijk al gekraakt of worden dat zeer binnenkort.
mzzl HurrI
check me log_files
http://213.93.121.73/code_red.txt/
(binnenkort offline wegens vakantie :)
Greetz!
zie ook http://forum.security.nl/showthread.php?postid=262#post262
ps. ik weet niet in welke tijdzone ik leefde maar ik bedoelde dus vandaag.
Erik Hensema
[email]erik@hensema.xs4all.nl[/email]
Dat was de eerste bij mij.
die was snel ;-)
Spoofen kan best wel, maar als je ip_adressen na checkt zijn het allemaal IIS dozen. Dus geen spoofen!
Greetz,
XaNcE
Waarschijnlijk begint de worm in de buurt van z'n eigen adres te scannen. Logisch, want je wilt natuurlijk niet dat alle geinfecteerde hosts op dezelfde plek zitten te scannen, dat is verspilde moeite.
>Spoofen kan best wel, maar als je ip_adressen na checkt zijn het allemaal IIS dozen.
Hoe weet je dat? Ik heb er een paar geprobeerd, maar ik krijg in alle gevallen 'Could not connect to server'. En dat zelfs een paar minuten nadat ik vanaf een dergelijk IP-adres gescand ben. In mijn geval gaat het mmestal om vaste A2K IP's, dus als er IIS-servers draaien dan zou ik er al snel 1-tje moeten vinden.
Zou het toch om een ander virus o.i.d. gaan dat HTTP requests uitstuurt?
Ik zie alleen NT en win2k servers, leuk spoofen daar vandaan, met een halve TCP-IP stack :)
Dit was bij mij de eerste..
Richard.
RedirectMatch Permanent default.ida http://127.0.0.1
HTTP/1.0 www.worm.com - - -
2001-08-04 14:05:43 213.29.56.2 - 192.168.6.68 80 GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 171 3818 922 HTTP/1.0 - - - -
De meeste hits komen overigens vanaf 213.x.x.x adressen
hier (en ik heb ook een 213 adress). Dat terwijl Jan suggereerde
dat de adressen van chello vandaan kwamen? Wellicht scant
deze variant alleen in dezelfde class A..
---
Maarten Oosterink
maarten@klet.st
Al met al redelijk 'effecient'. De oudste melding hier dateert van 13:59:08. We zijn nu 24 uur verder ...
Ik heb mijn IIS 5 server uiteraard gepatched, maar in mijn Scripts dir stond vandaag wel degelijk root.exe (een kopie van cmd.exe). Dit is naar schijnt iets dat door de nieuwe variant van Code Red gedaan wordt!
Op mijn andere IIS 5 server (op het interne netwerk, niet bereikbaar op Internet) stond GEEN root.exe.
Op de publieke server inderdaad veel XXXXXX attacks, op de andere server (uiteraard) geen.
Ik heb de mapping .ida >> index server uitgeschakeld en de server gereboot.
Vincent Barink
>Ik heb mijn IIS 5 server uiteraard gepatched, maar in mijn Scripts dir stond vandaag wel degelijk root.exe (een kopie van cmd.exe).
>Dit is naar schijnt iets dat door de nieuwe variant van Code Red gedaan wordt!
Klopt. Stond root.exe ook in program filescommon filessystemmsadc?
>Ik heb de mapping .ida >> index server uitgeschakeld en de server gereboot.
De vraag is of dat voldoende is. Op http://ntbugtraq.ntadvice.com/default.asp?pid=36&sid=1&A2=IND0108&L=NTBUGTRAQ&F=P&S=&P=279 staat niet alleen een uitgebreide beschrijving wat het virus doet, maar ook het advies je systeem te herformatteren.
Die uitgebreide beschrijving ga ik nu bekijken...
Bedankt!
Vincent
13:42:10 193.255.247.83 - 193.75.171.135
12:41:29 211.63.190.253 - 193.75.171.233
(de klok stond juist, btw, ik heb het in passant gecheckt..)
Jurgen
om de "attacks" te loggen en te laten zien via een WEL betrouwbare webserver ;) bijv. op http://bok.xs4all.nl/codered/index.html
toch een root.exe na het patchen zoals veschreven in de
033 hotfix:
- root.exe in de /scripts alias
- geen root.exe in /msadc alias (is ook niet bereikbaar)
- geen explorer.exe in de root van c of d
- geen mappings
Ik heb nogmaals de patch geladen, sindsdien is de root.exe
niet meer verschenen in de /scripts alias..
Vaag, zullen we maar zeggen.
Grts.
Maarten Oosterink
dozen hebben hun 24h erop en rebooten (met backdoor installed).
Wel verdacht dat alle infectie haarden ineens to busy zijn..
Erg handig trouwens als er weer nieuwe problemen gemeldt worden maar MS is weer eens niet op tijd of de patch, zoals de laatste, werken maar half. De nieuwe code red 2b maakt gebruik van een nieuwe exploid. (Ja, die met die XXXX-en)
Overigens zijn de aanvallen die wij krijgen voornamelijk scans van gebruikers die "het ook willen proberen" .
Jawel met dat tooltje van Eeye, je kent hem wel.
Ben trouwens benieuwd wanneer er iemand een scanner maakt die ook infecteerd...je bent gewaarschuwd !
Alles, success en zet in de blocking url ook even root.exe !
Daarmee gaat de maker van het virus verbinding maken en kun je mogelijk traceren wie dit is !
Groeten,
Remon
:-P
Zorg dat je je interne netwerk ook patched.........
Vooral als je deel uitmaakt van een grote organistie met een WAN aansluiting en misshien ook nog zonder firewall's !
Of je sluit je IDS server aan op je router.....
Groeten,
Remon
PS: Smilies ????
;-P
Vriendelijke groeten.
André.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.