image

Worm infecteert 220 computers na stroomstoring

zaterdag 6 juni 2009, 11:07 door Redactie, 10 reacties

Een stroomstoring is volgens een woordvoerder van het Amerikaanse Rensselaer County de oorzaak dat 200 desktops en 20 servers met een worm geïnfecteerd raakten. Om wat voor malware het gaat of waar die vandaan komt is niet bekend, maar volgens Information Services Director Vince Ruggiero gebeurde het bij een stroomuitval waardoor een aantal servers beschadigd raakten. Verschillende afdelingen kregen met de infectie te maken. De meest essentiële diensten, zoals spoedeisende hulp, sociale dienstverlening en de gevangenis, konden probleemloos verder draaien.

Er gaan geruchten dat de infectie mogelijk niet door de stroomstoring veroorzaakt is. Op dezelfde dag van de uitval, wisselde Rensselaer County van ISP. De vorige ISP vermoedt dan ook dat de nieuwe provider de beveiliging niet op orde had. Ruggiero ontkent dit echter en houdt vol dat de ISP-wissel niets met de besmetting te maken heeft.

Reacties (10)
06-06-2009, 12:34 door [Account Verwijderd]
[Verwijderd]
06-06-2009, 12:54 door Anoniem
Tijd voor UPS ?
06-06-2009, 13:43 door Anoniem
Het kan heel goed zijn dat zowel de county als de oude ISP gelijk hebben. Het gebeurt nog regelmatig dat er even iets met de hand wordt geconfigureerd, als er bijvoorbeeld een nieuwe klant bijkomt, maar dat men vergeet om die wijziging permanent te maken (write memory?). Door de stroomstoring vielen waarschijnlijk niet alleen de machines van de county uit, maar ook de (door de nieuwe ISP geleverde?) firewall. En die kwam vervolgens waarschijnlijk op in de default configuratie. En gezien de frequentie waarmee aanvallen doorgaans plaatsvinden, kan het best zo zijn dat de machines zijn besmet voordat men de fout in de configuratie doorhad.

Peter
07-06-2009, 09:26 door Ilja. _V V
Door Anoniem: dat de machines zijn besmet voordat men de fout in de configuratie doorhad.

Peter

Niets aan toe te voegen.
08-06-2009, 07:54 door Anoniem
Door Anoniem: Het kan heel goed zijn dat zowel de county als de oude ISP gelijk hebben. Het gebeurt nog regelmatig dat er even iets met de hand wordt geconfigureerd, als er bijvoorbeeld een nieuwe klant bijkomt, maar dat men vergeet om die wijziging permanent te maken (write memory?). Door de stroomstoring vielen waarschijnlijk niet alleen de machines van de county uit, maar ook de (door de nieuwe ISP geleverde?) firewall. En die kwam vervolgens waarschijnlijk op in de default configuratie. En gezien de frequentie waarmee aanvallen doorgaans plaatsvinden, kan het best zo zijn dat de machines zijn besmet voordat men de fout in de configuratie doorhad.

Peter
Een stroomstoring betekent dat er geen patches en viruscanners op een server/desktop staan ?
08-06-2009, 09:10 door Anoniem
Dat betekend dan eerder dat de worm er mogelijk al opstond en na de reboot (door de stroomstoring) actief is geworden....(run on start). Een stroomstoring "installeerd" geen worm...software dat zich installeerd op PC die UIT staan...tuurlijk.
08-06-2009, 11:26 door Anoniem
Wel erg toevallig dat het er precies 220 waren, in VS 110 Volt. 2*110=220.
Vroeger 220 Volt in Nederland (nu 230 Volt).
08-06-2009, 11:26 door palahala
Door Anoniem: Dat betekend dan eerder dat de worm er mogelijk al opstond en na de reboot (door de stroomstoring) actief is geworden....(run on start).
Waarom zou een worm wachten met actief worden...?

Door Anoniem: Een stroomstoring "installeerd" geen worm...software dat zich installeerd op PC die UIT staan...tuurlijk.
Dat zegt toch helemaal niemand? Zoals iemand hierboven al schreef:

Door de stroomstoring vielen waarschijnlijk niet alleen de machines van de county uit, maar ook de (door de nieuwe ISP geleverde?) firewall. En die kwam vervolgens waarschijnlijk op in de default configuratie.
En dat lijkt me, als die stroomstoring er iets mee te maken had, inderdaad de meest voor de hand liggende conclusie. (Met, inderdaad, slecht onderhouden workstations.)
08-06-2009, 11:44 door SirDice
A power outrage last week led to a server corruption, and that's how the worms found their way in.

Server wordt hersteld middels een backup of wordt opnieuw geinstalleerd. Men vergeet de patches die tussendoor geweest zijn. Worm infecteert server, server infecteert de rest.

Slordig en duidelijk geen goed ingericht netwerk. Hoe kan anders een internet facing server de backoffice infecteren?
10-06-2009, 09:31 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.