[es] - Code RED

Milan Aksic

Član broj: 412
Poruke: 1053
*.ptt.yu

Profil

^{05.08.2001. u 04:22 - pre 276 meseci}

Ne verujem da ces negde naci source kod, a ako i nekako nedjes postuj ovde. Inace ovaj crv (code red) ne napada Linux.Code Red je samoprostiruci crv koji iskoriscava propust u Internet
Information Serveru (IIS), serverskom delu Microsoftovih sistema Windows2000 i Windows NT. On skenira Internet i trazi ranjive sisteme koje zarazi tako sto se instalira na njih. Zakrpa koja otklanja propust postoji jos od polovine juna.
Microsoftova zakrpa nalazi se na adresi
http://www.digitalisland.net/codered/
Code Red koji je bio uspavan od 27. jula, otkriven je sredinom jula i tada je zarazio preko 250.000 racunara za devet sati. Zbog nacina na koji je napisan njegova aktivnost prestaje od 27. do 30. u mesecu a zatim se nastavlja prvog dana sledeceg meseca.
Kada zarazi sistem crv odmah skenira 100 IP adresa trazeci ranjive servere. Ova faza njegove aktivnosti odvija se od prvog do dvadesetog u mesecu. Kad nastupi dvadeseti zarazeni sistemi zapocinju napade na lokaciju Bele kuce do dvadeset sedmog u mesecu a potom crv uzima odmor.

Mada je prvog sata drugog kruga aktivnosti crva Code Red (prvog avgusta odmah posle ponoci) zarazeno samo 76 sistema taj broj se popeo na 157 u drugom satu, 495 u cetvrtom, 1591 u sestom i 13.487 u desetom. Ukupan broj zarazenih servera do sada je dostigao 99.000. Proslog meseca, 19. jula, zarazio je preko 250.000 servera za devet sati, promenivsi im naslovne strane ili pokrecuci napade izazivanjem odbijanja usluge (Denial of Service, DoS) koji su usporili Internet i onemogucili rad Web lokacije Bele kuce.Program ima ugradjen tajmer koji je izazvao njegovo ponovno pokretanje u sredu cim je prosla ponoc po Grinickom vremenu (8 uvece u utorak u Njujorku ili 9 ujutro u sredu u Tokiju).
Ukoliko je server zarazen dvema kopijama crva skenirace 10.000 IP adresa umesto 100 jer crvi imaju umnozavajuci efekat. Zato se veruje da ce ovog puta biti napadnut svaki sistem koji je jos uvek ranjiv a smatra se da takvih servera ima izmedju pola miliona i milion.
Pozdrav.

Bojan Bašić: obrisan nepotreban citat

[Ovu poruku je menjao Bojan Basic dana 17.03.2004. u 01:56 GMT]

Odgovor na temu

m r v a

Član broj: 8
Poruke: 1843
*.eunet.yu

Profil

Re: Code RED

^{05.08.2001. u 15:16 - pre 276 meseci}

A zato meni komp radi sporije :PPPP
sala mala .....

heh
dobar sistem .....
LOL

Odgovor na temu

uLtracode
Nemanja Marjanovic
Centar za Moderno Drustvo Sabac
Srbija/Sabac

Član broj: 40
Poruke: 490
*.ptt.yu

Profil

Re: Code RED

^{05.08.2001. u 17:06 - pre 276 meseci}

da bilo je dosta o CODE RED a najzanimljivije mi je IME koje je dobijo po napitku koje najvise piju programer jer sadrzi kofein (sto li ne sadrzi koku :)))

I don't need a reason!!!

Odgovor na temu

angel

Član broj: 442
Poruke: 38
*.ptt.yu

Sajt: www.bug.co.yu/angel

Profil

Re: Code RED

^{05.08.2001. u 18:12 - pre 276 meseci}

203.126.177.244 - - [05/Aug/2001:17:43:38 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 325

#grep ida access_log |wc -l
42
Daklem, za jedan dan sam dobio 42 pokusaja sa 42 razlicita IPja ... ovo se bash brzo siri. Verujem da je do sad pohakovao sve Win2K koji nemaju SP2
A.

Odgovor na temu

m r v a

Član broj: 8
Poruke: 1843
*.eunet.yu

Profil

Re: Code RED

^{05.08.2001. u 19:53 - pre 276 meseci}

eo kod mene ista prica.....samo sto je malo frekventnije .....
12.84.239.66 - - [05/Aug/2001:18:22:35 +0200] "GET /default.ida?NN
209.235.0.61 - - [05/Aug/2001:19:24:36 +0200] "GET /default.ida?NNN
213.56.39.164 - - [05/Aug/2001:19:25:16 +0200] "GET /default.ida?XX
213.82.155.101 - - [05/Aug/2001:19:26:11 +0200] "GET /default.ida?XXX
213.96.97.170 - - [05/Aug/2001:19:32:45 +0200] "GET /default.ida?XXX
213.66.95.206 - - [05/Aug/2001:19:41:20 +0200] "GET /default.ida?XXX

he ....videcemo za koji dan ....
Hail Bil Gates !!!

Odgovor na temu

CiH95

Član broj: 666
Poruke: 2
*.net.hinet.hr

Profil

Re: Code RED

^{05.08.2001. u 23:30 - pre 276 meseci}

Tnx passanger

A jeli postoji kakva mutacija tog virusa?

Odgovor na temu

stinger
Luka Gerzic
DELTA M, IT Department
DELTA M HQ

Član broj: 126
Poruke: 1099
*.drenik.net

ICQ: 57419599
Sajt: www.gerzic.net

Profil

Re: Code RED

^{06.08.2001. u 09:57 - pre 276 meseci}

ja ne smen ni da postujem sa nasih servera log ovde jel ne bi stalo sve na jednu stranu... :)

Odgovor na temu

Reljam
Relja Markovic
San Francisco

Član broj: 531
Poruke: 1793
*.dialup.mindspring.com

+18 Profil

Re: Code RED

^{06.08.2001. u 10:27 - pre 276 meseci}

Kod mene imam oko 20 napada dnevno - i dalje... Ne jenjava :)

IIS5 Win2K SP2

Odgovor na temu

Milan Aksic

Član broj: 412
Poruke: 1053
*.ptt.yu

Profil

Re: Code RED

^{06.08.2001. u 13:36 - pre 276 meseci}

Citat:

CiH95 je napisao:
Tnx passanger

A jeli postoji kakva mutacija tog virusa?

Koliko ja znam jos ne postoji nekakva mutacija CODE REDa, ali ako ne postoji pojavice se brzo, jer je zaista je od efikasnijih crva, pa ce se naci neki klinac koji zeli da postane haker, i prepraviti source. Samim tim cim je nasao source, nacice ga i drugi ozbiljniji pa ce napraviti 'MOZDA' jos bolju mutaciju.
Pozdrav.

Odgovor na temu

Milan Aksic

Član broj: 412
Poruke: 1053
*.ptt.yu

Profil

Re: Code RED

^{07.08.2001. u 07:03 - pre 276 meseci}

Citat:

CiH95 je napisao:
Tnx passanger

A jeli postoji kakva mutacija tog virusa?

Hehehe vec?

Bura oko virusa (crva) Code Red jos se nije stisala. Svakodnevno stizu
novi izvestaji o njegovim dejstvima, a vec se pojavljuju i glasine o
njegovoj novoj verziji.

Ako je verovati nekolicini kompanija za racunarsku bezbednost, novi,
potencijalno jos opasniji, Code Red II poceo je da se siri tokom upavo
zavrsenog vikenda.

Kompanija Computer Associates International smatra da je Code Red II
opasniji od prethodnika iz nekoliko razloga: prvo, zato sto na napadnutom
racunaru ostavlja otvorena "zadnja vrata", cime napadacima omogucava lak
pristup kompletnom sadrzaju, ukljucujuci lozinke, kao i brisanje i zamenu
datoteka.

Kao i prethodnik, Code Red II napada racunare koji rade pod operativnim
sistemom Windows NT/2000 na kojima radi program Internet Information
Server (i koji nisu "zakrpili" propust), a NE dira ostale racunare.
Medjutim, i pored toga, smatra se da novi crv nije samo varijanta starog,
vec da se radi o sasvim novom programu koji ima iste potpise i nacin
napada kao stari. Racunar zarazen starim crvom moze biti ponovo zarazen
novim, a po izvestajima kompanije Security Focus, najveci problem u
otkrivanju lezi u cinjenici da crv "umire" posle dva dana (ali ne i
njegovo delo).

Ovo je bila losa vest; dobra vest je da je zakrpa koja zaustavlja staru
verziju i koja se moze preuzeti na adresi
http://www.microsoft.com/techn...s/security/topics/codealrt.asp,
efikasna i u borbi sa drugom generacijom "sifre crveno". Preporucena
procedura je: preuzimanje zakrpe sa Interneta; prekid veze sa Internetom;
resetovanje i ponovno pokretanje racunara; instaliranje zakrpe; jos jedno
resetovanje i pokretanje racunara; ponovno povezivanje na Internet. Posle
toga, trebalo bi da je racunar potpuno imun na crve obe generacije. (B.S.)
Pozdrav.

Odgovor na temu

Milan Aksic

Član broj: 412
Poruke: 1053
*.ptt.yu

Profil

Re: Code RED

^{09.08.2001. u 18:40 - pre 276 meseci}

paz'te samo ovu bezobzirnost ;)

'Pokazujuci jos jednom da ne sledi ono sto sam propoveda, Microsoft je
u cetvrtak potvrdio da je Internet crv Code Red zarazio njegova dva
servera koji se koriste u radu sluzbe Hotmail za slanje i primanje e-
poste preko Weba.
"Nekoliko MSN Hotmail servera zarazeno je crvom Code Red. Serveri su
odmah uklonjeni, iskljuceni i zakrpljeni", izjavila je predstavnica
britanskog ogranka kompanije i dodala da je infekcija uocena u sredu
popodne u SAD.
Od dva inficirana sistema jedan je sluzio za testiranje i nikakvi
podaci korisnika nisu kompromitovani, dodala je ona. Svi korisnici
ponovo imaju bezbedan pristup uslugama sluzbe Hotmail. Hotmail ima
preko 100 miliona korisnika sirom sveta.
Microsoft je preduzeo dodatne mere da pojaca bezbednost svojih
servera i svoje mreze kako bi efekte uticaja ovog crva sveo na
minimum, saopstila je predstavnica kompanije. Ispostavilo se da je u
pitanju bio varijetet Code Red II (poznat i kao Code Red 3.0)
originalnog crva Code Red koji se po drugi put aktivirao proslog
vikenda.
Ovo nije prvi put da Microsoft zaboravi da i sam instalira
bezbednosnu zakrpu. Holandski haker Dimitri uspeo je prosle godine da
se dva puta uvuce u Microsoftov Web server, a drugi put cak posle
Microsoftovog saopstenja da je njegovo osoblje zakrpilo propust kojim
se Dimitri sluzio za svoje upade.'

Pozdrav.

Odgovor na temu

misk0
.: Lugano :. _.: CH :.

SuperModerator
Član broj: 634
Poruke: 2824
*.dialup.blic.net

ICQ: 46802502

+49 Profil

Re: Code RED

^{24.08.2001. u 02:20 - pre 276 meseci}

Citat:

stinger je napisao:
ja ne smen ni da postujem sa nasih servera log ovde jel ne bi stalo sve na jednu stranu... :)

ja sam u zadjnih 10 dana ima 35 mb httpd_error.log fajl
i cudim se sta je to default.ida;)

:: Nemoj se svadjati sa budalom, ljudi cesto nece primjetiti razliku ::

Odgovor na temu