Code Red variant verspreidt zich snel, brengt backdoor aan
Updated 22:35
Een nieuwe variant van de Code Red worm die zich via lekke Microsoft IIS servers voortplant
verspreidt zich zeer snel. Vanaf zaterdagmiddag 16:00 is er een scherpe toename van het aantal inbraakpogingen per uur te zien.
De nieuwe worm is te herkennen aan de lange opeenvolgende reeks van X-tekens; bij de oude
worm waren dat N-tekens:
213.65.x.x - - [ 4/Aug/2001:22:23:47 +0200] "GET http://x.x.x.x/default.ida?XXXXXXXXXXXXX
De nieuwe worm is volgens een analyse van Securityfocus
geen variant op Code Red, maar een nieuw kwaadaardige programma dat hetzelfde lek als Code Red gebruikt. Desalniettemin wordt gesproken over Code Red II.
CodeRed II verspreid zich bij voorkeur via dezelfde ip-adresruimte van de tijdelijke gastheer. Codered II laat
een copie van cmd.exe onder de naam root.exe in de scripts
directory van de IIS webserver achter, waardoor iedereen
via de aldus aangebrachte interactieve toegang tot deze server kan krijgen. Braddock Gaskil beschrijft hoe een kwaadwillende persoon toegang tot honderdduizenden
servers kan krijgen en deze kan inzetten voor bijvoorbeeld een DDoS aanval.
Dezelfde patch als voor CodeRed v1 gold geldt ook voor CodeRed II. Mensen die hun systemen nog niet gepatched hebben zijn waarschijnlijk al gekraakt of worden dat zeer binnenkort.
Reacties (31)
80 pogingen hier tot nu toe sinds 15:05 eerste... meeste komen uit zelfde 255.255.0.0 subnetmaks... de mijne ;)
mzzl HurrI
mzzl HurrI
In mijn logfiles blijkt dat het virus gestart is op het subnet class C van 213.93.xxx.xxx
check me log_files
http://213.93.121.73/code_red.txt/
(binnenkort offline wegens vakantie :)
Greetz!
check me log_files
http://213.93.121.73/code_red.txt/
(binnenkort offline wegens vakantie :)
Greetz!
04-08-2001, 23:18 door
ricv
Deze variant maakt ook gebruik van cmd.exe exploits
zie ook http://forum.security.nl/showthread.php?postid=262#post262
ps. ik weet niet in welke tijdzone ik leefde maar ik bedoelde dus vandaag.
zie ook http://forum.security.nl/showthread.php?postid=262#post262
ps. ik weet niet in welke tijdzone ik leefde maar ik bedoelde dus vandaag.
De nieuwe variant kwam voor het eerst binnen om 15:!5 op mijn systeem. Sindsdien komen alle aanvallen vanuit hetzelfde /16 net, het athome netwerk in nederland. Er zijn ruwweg acht keer meer aanvallen van de nieuwe variant dan van de oude, sinds 15:15.
Erik Hensema
[email]erik@hensema.xs4all.nl[/email]
Erik Hensema
[email]erik@hensema.xs4all.nl[/email]
Op http://www.xs4all.nl/~hensema/red-alert-new.html heb ik de output van een php script zoals gesuggereerd in nl.internet.misbruik geplaatst.
213.51.*.* - - [04/Aug/2001:15:43:32 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 280
Dat was de eerste bij mij.
Dat was de eerste bij mij.
213.93.88.204 - - [04/Aug/2001:13:59:15 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 269
die was snel ;-)
die was snel ;-)
Bij mij is de stand van de nieuwe variant inmiddels opgelopen tot 140. Opvallend is dat bij vrijwel iedereen de meeste (maar niet alle) scans komen vanaf zijn eigen subnet. Dit zou erop kunnen duiden dat de IP's gespoofd worden. En de malformed header van de originele Code Red ontbreekt ook.
Iemand al de source_code van het virus te pakken gekregen? Zal wel makkelijker zijn.
Spoofen kan best wel, maar als je ip_adressen na checkt zijn het allemaal IIS dozen. Dus geen spoofen!
Greetz,
XaNcE
Spoofen kan best wel, maar als je ip_adressen na checkt zijn het allemaal IIS dozen. Dus geen spoofen!
Greetz,
XaNcE
05-08-2001, 00:25 door
iljitsch
De kans dat HTTP pakketten gespoofd worden is minimaal. Je moet dan namelijk precies alle TCP parameters van de andere kant weten (of gokken) en weten hoe groot de datapakketten zijn die verstuurd worden. Zelfs als jij dit alles kan neppen zal de host die het gespoofde adres heeft een TCP reset terugsturen zodat het allemaal vrij snel afgelopen is.
Waarschijnlijk begint de worm in de buurt van z'n eigen adres te scannen. Logisch, want je wilt natuurlijk niet dat alle geinfecteerde hosts op dezelfde plek zitten te scannen, dat is verspilde moeite.
Waarschijnlijk begint de worm in de buurt van z'n eigen adres te scannen. Logisch, want je wilt natuurlijk niet dat alle geinfecteerde hosts op dezelfde plek zitten te scannen, dat is verspilde moeite.
XaNcE:
>Spoofen kan best wel, maar als je ip_adressen na checkt zijn het allemaal IIS dozen.
Hoe weet je dat? Ik heb er een paar geprobeerd, maar ik krijg in alle gevallen 'Could not connect to server'. En dat zelfs een paar minuten nadat ik vanaf een dergelijk IP-adres gescand ben. In mijn geval gaat het mmestal om vaste A2K IP's, dus als er IIS-servers draaien dan zou ik er al snel 1-tje moeten vinden.
Zou het toch om een ander virus o.i.d. gaan dat HTTP requests uitstuurt?
>Spoofen kan best wel, maar als je ip_adressen na checkt zijn het allemaal IIS dozen.
Hoe weet je dat? Ik heb er een paar geprobeerd, maar ik krijg in alle gevallen 'Could not connect to server'. En dat zelfs een paar minuten nadat ik vanaf een dergelijk IP-adres gescand ben. In mijn geval gaat het mmestal om vaste A2K IP's, dus als er IIS-servers draaien dan zou ik er al snel 1-tje moeten vinden.
Zou het toch om een ander virus o.i.d. gaan dat HTTP requests uitstuurt?
Spoofen ???
Ik zie alleen NT en win2k servers, leuk spoofen daar vandaan, met een halve TCP-IP stack :)
Ik zie alleen NT en win2k servers, leuk spoofen daar vandaan, met een halve TCP-IP stack :)
04/Aug/2001 - 13:59:08 - 211.226.xxx.xxx - mywebserver/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
Dit was bij mij de eerste..
Richard.
Dit was bij mij de eerste..
Richard.
Dit is trouwens wel een leuke voor in apache...
RedirectMatch Permanent default.ida http://127.0.0.1
RedirectMatch Permanent default.ida http://127.0.0.1
Hier de eerste:
HTTP/1.0 www.worm.com - - -
2001-08-04 14:05:43 213.29.56.2 - 192.168.6.68 80 GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 171 3818 922 HTTP/1.0 - - - -
De meeste hits komen overigens vanaf 213.x.x.x adressen
hier (en ik heb ook een 213 adress). Dat terwijl Jan suggereerde
dat de adressen van chello vandaan kwamen? Wellicht scant
deze variant alleen in dezelfde class A..
---
Maarten Oosterink
maarten@klet.st
HTTP/1.0 www.worm.com - - -
2001-08-04 14:05:43 213.29.56.2 - 192.168.6.68 80 GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 171 3818 922 HTTP/1.0 - - - -
De meeste hits komen overigens vanaf 213.x.x.x adressen
hier (en ik heb ook een 213 adress). Dat terwijl Jan suggereerde
dat de adressen van chello vandaan kwamen? Wellicht scant
deze variant alleen in dezelfde class A..
---
Maarten Oosterink
maarten@klet.st
24.162.106.140 - - [01/Aug/2001:17:53:31 -0400] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 344 "-" "-"
Inmiddels staan er op [utl]http://www.incidents.org[/url] meer technische details. De XXX-variant schijnt 4 op de 8 keer in je C-subnet te scannen, 3 op de 8 keer in je B-subnet en 1 op de 8 keer echt random. En op de besmette PC's laat hij een openbare command shell achter.
Al met al redelijk 'effecient'. De oudste melding hier dateert van 13:59:08. We zijn nu 24 uur verder ...
Al met al redelijk 'effecient'. De oudste melding hier dateert van 13:59:08. We zijn nu 24 uur verder ...
Oeps. http://www.incidents.org/ natuurlijk.
Dit is eng!
Ik heb mijn IIS 5 server uiteraard gepatched, maar in mijn Scripts dir stond vandaag wel degelijk root.exe (een kopie van cmd.exe). Dit is naar schijnt iets dat door de nieuwe variant van Code Red gedaan wordt!
Op mijn andere IIS 5 server (op het interne netwerk, niet bereikbaar op Internet) stond GEEN root.exe.
Op de publieke server inderdaad veel XXXXXX attacks, op de andere server (uiteraard) geen.
Ik heb de mapping .ida >> index server uitgeschakeld en de server gereboot.
Vincent Barink
Ik heb mijn IIS 5 server uiteraard gepatched, maar in mijn Scripts dir stond vandaag wel degelijk root.exe (een kopie van cmd.exe). Dit is naar schijnt iets dat door de nieuwe variant van Code Red gedaan wordt!
Op mijn andere IIS 5 server (op het interne netwerk, niet bereikbaar op Internet) stond GEEN root.exe.
Op de publieke server inderdaad veel XXXXXX attacks, op de andere server (uiteraard) geen.
Ik heb de mapping .ida >> index server uitgeschakeld en de server gereboot.
Vincent Barink
Vincent Barink:
>Ik heb mijn IIS 5 server uiteraard gepatched, maar in mijn Scripts dir stond vandaag wel degelijk root.exe (een kopie van cmd.exe).
>Dit is naar schijnt iets dat door de nieuwe variant van Code Red gedaan wordt!
Klopt. Stond root.exe ook in program filescommon filessystemmsadc?
>Ik heb de mapping .ida >> index server uitgeschakeld en de server gereboot.
De vraag is of dat voldoende is. Op http://ntbugtraq.ntadvice.com/default.asp?pid=36&sid=1&A2=IND0108&L=NTBUGTRAQ&F=P&S=&P=279 staat niet alleen een uitgebreide beschrijving wat het virus doet, maar ook het advies je systeem te herformatteren.
>Ik heb mijn IIS 5 server uiteraard gepatched, maar in mijn Scripts dir stond vandaag wel degelijk root.exe (een kopie van cmd.exe).
>Dit is naar schijnt iets dat door de nieuwe variant van Code Red gedaan wordt!
Klopt. Stond root.exe ook in program filescommon filessystemmsadc?
>Ik heb de mapping .ida >> index server uitgeschakeld en de server gereboot.
De vraag is of dat voldoende is. Op http://ntbugtraq.ntadvice.com/default.asp?pid=36&sid=1&A2=IND0108&L=NTBUGTRAQ&F=P&S=&P=279 staat niet alleen een uitgebreide beschrijving wat het virus doet, maar ook het advies je systeem te herformatteren.
Nee, stond niet in msadc. Msadc virtual root is op mijn server alleen beschikbaar voor localhost (ip access denied, exept below...). De script dir heb ik nu ook op deze manier afgeschermd.
Die uitgebreide beschrijving ga ik nu bekijken...
Bedankt!
Vincent
Die uitgebreide beschrijving ga ik nu bekijken...
Bedankt!
Vincent
Eerste hists:
13:42:10 193.255.247.83 - 193.75.171.135
12:41:29 211.63.190.253 - 193.75.171.233
(de klok stond juist, btw, ik heb het in passant gecheckt..)
Jurgen
13:42:10 193.255.247.83 - 193.75.171.135
12:41:29 211.63.190.253 - 193.75.171.233
(de klok stond juist, btw, ik heb het in passant gecheckt..)
Jurgen
vind je op http://www.kryptolus.com/red6.txt
om de "attacks" te loggen en te laten zien via een WEL betrouwbare webserver ;) bijv. op http://bok.xs4all.nl/codered/index.html
om de "attacks" te loggen en te laten zien via een WEL betrouwbare webserver ;) bijv. op http://bok.xs4all.nl/codered/index.html
Bij mij in eerste instantie hetzelfde als vincent barink, dus
toch een root.exe na het patchen zoals veschreven in de
033 hotfix:
- root.exe in de /scripts alias
- geen root.exe in /msadc alias (is ook niet bereikbaar)
- geen explorer.exe in de root van c of d
- geen mappings
Ik heb nogmaals de patch geladen, sindsdien is de root.exe
niet meer verschenen in de /scripts alias..
Vaag, zullen we maar zeggen.
Grts.
Maarten Oosterink
toch een root.exe na het patchen zoals veschreven in de
033 hotfix:
- root.exe in de /scripts alias
- geen root.exe in /msadc alias (is ook niet bereikbaar)
- geen explorer.exe in de root van c of d
- geen mappings
Ik heb nogmaals de patch geladen, sindsdien is de root.exe
niet meer verschenen in de /scripts alias..
Vaag, zullen we maar zeggen.
Grts.
Maarten Oosterink
06-08-2001, 15:54 door
ricv
De probes lijken terug te lopen, ofwel men doet er wat aan of de meeste
dozen hebben hun 24h erop en rebooten (met backdoor installed).
Wel verdacht dat alle infectie haarden ineens to busy zijn..
dozen hebben hun 24h erop en rebooten (met backdoor installed).
Wel verdacht dat alle infectie haarden ineens to busy zijn..
Aan die vorm van de grafiek van die probes te zien komen die probes van Window2000 Professional workstations, want onder de middag en 's nachts zetten ze geen servers uit. Dus kunnen we ervan uitgaan dat die problemen met die gebackdoorde systemen blijvend zijn, omdat er geen admin achter dat toestel zit die een beetje op die patches let. Het kan het geen maand duren, voordat er een of andere slimmerik op het gedacht komt een worm te schrijven die al die machines op de afzoekt met de logs op iedere machiene en een gigantische DoS op het Internet afvuurt.
Wij zien ind e afgelopen 24 uur ruim 800 pogingen op bij ons binnen te komen. Je kunt natuurlijk ook gewoon een IDS server aan de internet router hangen waardoor alle url's gescaned worden die opgevraagd worden....
Erg handig trouwens als er weer nieuwe problemen gemeldt worden maar MS is weer eens niet op tijd of de patch, zoals de laatste, werken maar half. De nieuwe code red 2b maakt gebruik van een nieuwe exploid. (Ja, die met die XXXX-en)
Overigens zijn de aanvallen die wij krijgen voornamelijk scans van gebruikers die "het ook willen proberen" .
Jawel met dat tooltje van Eeye, je kent hem wel.
Ben trouwens benieuwd wanneer er iemand een scanner maakt die ook infecteerd...je bent gewaarschuwd !
Alles, success en zet in de blocking url ook even root.exe !
Daarmee gaat de maker van het virus verbinding maken en kun je mogelijk traceren wie dit is !
Groeten,
Remon
:-P
Erg handig trouwens als er weer nieuwe problemen gemeldt worden maar MS is weer eens niet op tijd of de patch, zoals de laatste, werken maar half. De nieuwe code red 2b maakt gebruik van een nieuwe exploid. (Ja, die met die XXXX-en)
Overigens zijn de aanvallen die wij krijgen voornamelijk scans van gebruikers die "het ook willen proberen" .
Jawel met dat tooltje van Eeye, je kent hem wel.
Ben trouwens benieuwd wanneer er iemand een scanner maakt die ook infecteerd...je bent gewaarschuwd !
Alles, success en zet in de blocking url ook even root.exe !
Daarmee gaat de maker van het virus verbinding maken en kun je mogelijk traceren wie dit is !
Groeten,
Remon
:-P
Nog even een opmerking voor alle netwerkbeheerders:
Zorg dat je je interne netwerk ook patched.........
Vooral als je deel uitmaakt van een grote organistie met een WAN aansluiting en misshien ook nog zonder firewall's !
Of je sluit je IDS server aan op je router.....
Groeten,
Remon
PS: Smilies ????
;-P
Zorg dat je je interne netwerk ook patched.........
Vooral als je deel uitmaakt van een grote organistie met een WAN aansluiting en misshien ook nog zonder firewall's !
Of je sluit je IDS server aan op je router.....
Groeten,
Remon
PS: Smilies ????
;-P
Ik ben een beginnende thuisgebruiker en ik hoop dat iemand me hiermee kan helpen: Sinds het uitbreken van Code Red heb ik honderden scans op poort 80 gehad. Mijn pc fungeert niet als server. Ben ik nu ook kwetsbaar voor deze worm of kan ik alles gewoon negeren? Ik las laatst dat systemen die op Windows Me draaien ook geïnfecteerd kunnen worden. Klopt dit?
Vriendelijke groeten.
André.
Vriendelijke groeten.
André.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
