code red worm laat spoor van vernieling achter
De Code Red worm waar onder andere Microsoft's eigen MSN vanmiddag aan ten prooi viel, trekt momenteel een spoor van schade over het internet. Naar schatting enkele tienduizenden NT servers zijn inmiddels al gevallen voor Code Red en het einde lijkt nog niet in zicht. Talloze systeembeheerders rapporteren meerdere inbraakpogingen per seconde afkomstig van vele verschillende gekraakte servers op het internet. Op de site van Dshield is te zien dat de afgelopen dagen het aantal scans op port 80 schrikbarend gestegen is.
Zoals eerder gezegd buit de worm een lek uit in Microsoft IIS wat al sinds half juni bekend is en waar de patch al geruime tijd voor beschikbaar is. De vinders van het lek, Eeye security, hebben enkele uren geleden een uitgebreide analyse van de worm gepost op Bugtraq. Daaruit blijkt onder meer dat het uiteindelijke doel van de worm een DOS attack op www.whitehouse.gov is.
Ook Cisco 675, 677 en 678 DSL routers hebben last van de worm: door een ouder probleem crashen deze routers als ze via HTTP bereikbaar zijn en er een vraagteken in de opgevraagde URL voorkomt.
Update from Eeye
Marc Maiffret sends--
Thanks to Eric from Symantec for tossing us a note about the worm being Date based and not Time based.
We made an error in our last analysis and said the worm would start attacking whitehouse.gov based on a certain time. In reality its based on a date (the 20th UTC) which is tomorrow.
---<20th UTC is actually just over 2 hours away as I post this>---
If the worm infects your system between the 1st and the 19th it will attempt to deface the infected servers web page or try to propogate itself to other systems. On the 20th all infected threads will attempt to attack www.whitehouse.gov. This seems to continue until the worm is removed from
the infected system.
Any new infection that happens between the 20th and 28th will most likely be someone "hand infecting" your system as all other worms should be attacking whitehouse.gov. If for some reason you are infected between the 20th and the 28th then the worm will begin attacking whitehouse.gov without trying to infect other systems. This attack will continue indefinitly.
---
en het is al de 20e.. nog 11 uur voor het over de hele wereld 20 juli is...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
