Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 20.7.2001

Kiinalainen Code Red -mato valloittaa IIS-palvelimia

Kiinalainen Code Red -mato hyödyntää Microsoftin IIS -palvelinohjelmistosta löytynyttä reikää ja leviää vauhdikkaasti. Keskiviikkona madon arveltiin saastuttaneen noin 12 000 palvelinta ja torstaina jo yli 100 000 palvelinta. Mato on melko älykäs, sillä se arpoo listan satunnaisia IP-osoitteita ja yrittää levittää itseään niihin. Onnistuessaan tunkeutumaan palvelimelle mato tarkastaa Windowsin kieliversion ja jos kyseessä on englanninkielinen versio, mato vaihtaa webbisivuille viestin "Hacked By Chinese!". Mato noudattaa tiettyä vuorokausirytmiä, johon kuuluu kaikkien saastuneiden palvelimien samanaikainen DoS-hyökkäys Whitehouse.gov-palvelinta vastaan. Whitehouse.gov on madon vuoksi joutunut vaihtamaan IP-numeroaan välttääkseen katkokset palvelussa. Lisäksi Ciscon 67x -sarjan reitittimissä olevan bugin vuoksi mato saattaa levitessään kaataa myös reitittimiä ja aiheuttaa näin verkkokatkoksia.

Microsoft on paikannut madon hyödyntämän reiän jo kesäkuussa, mutta koska mato onnistui iskemään myös Windows Update -palveluun, kovinkaan moni ylläpitäjä ei ilmeisesti ole vaivautunut päivittämään ohjelmistoaan. Lue juttu.

oma, 20.7.2001 11:27. Lähde:

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 18 uutta / 18 )
pistettä.
Näytä vain kommentit joilla on vähintään
Niin sitä pitää
Anonyymi kommentoija, 20.7.2001 16:45:17		 Pisteet: +1
Kuten eräs henkilö IRC:ssä totesi:

"Windows shields users from the ugly truths about computers."

Se että osaa käynnistää Setup.exen ei tee kenestäkään pätevää asentamaan ja ylläpitämään palvelimia. Valitettavasti keskiverto Windowsin käyttäjä saa asiasta juuri päinvastaisen mielikuvan.

Vastuu totuuden kertomisesta jää niille meistä jotka oikeasti osaavat asiansa; ehkäpä olisi aika kertoa IIS:iä vaativalle asiakkaalle muutamia tosiasioita vailla sitä kiihkofanaattista asennetta joka varsinkin Linux-käyttäjiä tuntuu vaivaavan?

--
TBB
oma Code Red löysi Sektorinkin
oma, 20.7.2001 12:14:48		 Pisteet: +1
Yllätyksekseni huomasin, että noita Code Red -madon aiheuttamia http requesteja löytyy Sektorinkin access_logista parikymmentä. Ensimmäinen requesti tuli eilen iltapäivällä ja noita on tullut lisää tänään aamupäivällä. Varmaan muutkin suomalaiset saitit saaneet osansa, mutta onko mato ottanut Suomessa yhtään palvelinta haltuunsa ?
Testing
Re: Code Red löysi Sektorinkin
Anonyymi kommentoija, 20.7.2001 12:26:57		 Pisteet: +1
Yllätyksekseni huomasin, että noita Code Red -madon aiheuttamia http requesteja löytyy Sektorinkin access_logista parikymmentä.
Eipä tuossa sinällään mitään yllättävää ole - eri matojen kolkutteluja näkyy jatkuvasti sekä ylläpitämieni www-palvelinten että ids-järjestelmämme logeissa (niin paljon, ettei niistä yksinkertaisesti pysty ilmoittamaan esim. ko saittien ylläpitäjille vaikka monesti madot on varmaan huomaamatta). Yllättävää ettei tässä ole vielä yhtään 'M1cr0$s0ft on paska'-kommenttia - ehkäpä pingviinipojat ovat lomalla ;)?
bungle Re: Code Red löysi Sektorinkin
bungle, 20.7.2001 12:38:17		 Pisteet: +1
Yllättävää ettei tässä ole vielä yhtään 'M1cr0$s0ft on paska'-kommenttia - ehkäpä pingviinipojat ovat lomalla ;)?
En ole pingviinipoika, mutta nyt tulee ensimmäinen.

Microsoft on paikannut madon hyödyntämän reiän jo kesäkuussa, mutta koska mato onnistui iskemään myös Windows Update -palveluun, kovinkaan moni ylläpitäjä ei ilmeisesti ole vaivautunut päivittämään ohjelmistoaan.
Jokaista IIS palvelinta kohden pitää palkata yksi henkilö paikkaamaan reikiä. Kaikilla ei ole tähän resursseja, eli se siitä TCO:sta.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
Re: Code Red löysi Sektorinkin
Anonyymi kommentoija, 20.7.2001 13:02:17		 Pisteet: +1
Jokaista IIS palvelinta kohden pitää palkata yksi henkilö paikkaamaan reikiä. Kaikilla ei ole tähän resursseja, eli se siitä TCO:sta.
Ainou. Pingviinipojalla tarkoitinkin tuollaista alatyylin vastausta.. kun ylläpitää webiservereitä osana työtään ei IIS kyllä minunkaan sympatioitani saa. Ainut syy sen käyttämiseen on nuo prkleen asiakkaat jotka ei tajua omaa etuaan ;).
Re: Code Red löysi Sektorinkin
Anonyymi kommentoija, 20.7.2001 13:43:25		 Pisteet: +1
No siis onhan se fakta, että IIS:n ja ASP:n siihen laittaminen on helpompaa kuin *nixin asennus ja siihen vaikkapa Apachen ja PHP:n. Ja kaikilla firmoilla ei ole varaa maksaa kunnon osaamisesta yritykselle joka tuon tekisi ja on helppo ajatella, että ei sellaista jamppaa tarvita joka tuon hoitaisi. Sinänsä ihan ymmärrettävää.

Lisäksi "if it works, don't fix it" -mentaliteetti toimii yleensä, joten harvemmalle tulee mieleen että on syy miksi patcheja sullotaan ulos. "Kuka pieni kiinalainen nyt meidän yrityksen sivuista olisi kiinnostunut" ... :)

..

Ja ihan vaan lisäkommenttina, on ollut paljon puhetta kuinka me IT-nuoret ei osata ennään soumen kiältä, joten ihan oikeesti olisi kiva, jos joku nussisi pilkkuja vähän väliä ja osoittaisi kielioppivirheet, jotta oma kirjoitus paranisi. Eikä varmaan haittaisi muitakaan..
Re: Code Red löysi Sektorinkin
Anonyymi kommentoija, 20.7.2001 14:04:14		 Pisteet: 0
Ja ihan vaan lisäkommenttina, on ollut paljon puhetta kuinka me IT-nuoret ei osata ennään soumen kiältä, joten ihan oikeesti olisi kiva, jos joku nussisi pilkkuja vähän väliä ja osoittaisi kielioppivirheet, jotta oma kirjoitus paranisi. Eikä varmaan haittaisi muitakaan..
En haluaisi lukea äidinkielen pikakurssia näiden kommenttien seasta. Ehkä se foorumi ois oikea paikka myös niille jos joku niitä kaipaa.
Re: Code Red löysi Sektorinkin
Anonyymi kommentoija, 20.7.2001 14:53:31		 Pisteet: 0
No siis onhan se fakta, että IIS:n ja ASP:n siihen laittaminen on helpompaa kuin *nixin asennus ja siihen vaikkapa Apachen ja PHP:n.
Mikähän ihmeen fakta tuo on? Itselleni tulisi hätä käteen jos vaadittaisiin asentamaan NT, IIS ja ASP ja vielä turvallisilla asetuksilla. Deabian Linux, Apache ja PHP sen sijaan menee ns. heittämällä :)
Re: Code Red löysi Sektorinkin
Anonyymi kommentoija, 20.7.2001 14:54:59		 Pisteet: 0
Mikähän ihmeen fakta tuo on? Itselleni tulisi hätä käteen jos vaadittaisiin asentamaan NT, IIS ja ASP ja vielä turvallisilla asetuksilla. Deabian Linux, Apache ja PHP sen sijaan menee ns. heittämällä :)
Vaikka en näköjään osaa kirjoittaa. Siis Debian Linux.

Pisteet: -1 :)
TeknoHog Re: Code Red löysi Sektorinkin
TeknoHog, 20.7.2001 17:08:49		 Pisteet: 0
Vaikka en näköjään osaa kirjoittaa. Siis Debian Linux.
Debian GNU/Linux, prkl ;-]

Ei tama siis ole mitaan RMS:n tyylista hihhulointia vaan ihan oikeasti kyseisen distron nimi.
-><-
Good shit, huh? Dozer makes it. It's good for two things: degreasing engines and killing brain cells.
Re: Code Red löysi Sektorinkin
Anonyymi kommentoija, 21.7.2001 01:54:53		 Pisteet: 0
No siis onhan se fakta, että IIS:n ja ASP:n siihen laittaminen on helpompaa kuin *nixin asennus ja siihen vaikkapa Apachen ja PHP:n.
Mikähän ihmeen fakta tuo on? Itselleni tulisi hätä käteen jos vaadittaisiin asentamaan NT, IIS ja ASP ja vielä turvallisilla asetuksilla. Deabian Linux, Apache ja PHP sen sijaan menee ns. heittämällä :)
Ja pyh. Itse olen asentanut molemmat moneen kertaan ja kyllä se on helpompi vaikkapa NT + IIS + ASP. Mutta että IIS turvallisilla asetuksilla onkin jo eri asia ;)
ATQ0 Re: Code Red löysi Sektorinkin
ATQ0, 20.7.2001 17:39:21		 Pisteet: 0
Yllättävää ettei tässä ole vielä yhtään 'M1cr0$s0ft on paska'-kommenttia - ehkäpä pingviinipojat ovat lomalla ;)?
Eikun teikälisen veren alkoholipitoisuus alkaa laskea sen verran, että ne harvat haistatteluhenkiset kommentit näkyvät taas yhtenä...
--
/(ATQ0)
cape Re: Code Red löysi Sektorinkin
cape, 20.7.2001 12:37:55		 Pisteet: +1
Ensimmäinen requesti tuli eilen iltapäivällä ja noita on tullut lisää tänään aamupäivällä. Varmaan muutkin suomalaiset saitit saaneet osansa,
Sama juttu täällä. Eilen alkoi tulla, ja kymmeniä requesteja on jo tupsahdellut.
oma Code Red palaa elokuun alussa?
oma, 22.7.2001 16:23:49		 Pisteet: +1
ZDNetin artikkelin mukaan Code Red ehti tartuttaa noin 300 000 IIS-webpalvelinta. Jos valitaan IPv4-avaruudesta mikä tahansa IP-osoite, Code Red yritti iskeä siihen keskimäärin yli 20 kertaa, joka pitänee paikkansa, koska ainakin Sektorin palvelimelle Code Red oli käynyt koputtelemassa noin parikymmentä kertaa. Siinä on bitti liikkunut kun jokainen 300 000 palvelimesta yritti lähes samanaikaisesti lähettää satoja kiloja dataa valkoisen talon www-palvelimelle.

Ylläpitäjillä on nyt 10 päivää aikaa paikata järjestelmänsä, sillä mato aktivoituu taas elokuun ensimmäinen päivä. Mato käyttäytyy siitäkin erikoisesti, että se ei jätä itsestään kopiota palvelimelle, vaan toimii suoraan muistista. Jos saastuneen palvelimen boottaa, mato häviää palvelimelta samantien.

Alunperin madon arvellaan aloittaneen maailmankiertueensa jo 13. päivä, joka sattumalta oli kaikenlisäksi perjantai.

http://www.zdnet.com/zdnn/stories/news/0,4586,5094...
Testing
Logica IIS
Logica, 21.7.2001 14:30:08		 Pisteet: 0
IIS = Insecure Internet Server, muuta ei tarvinne tähän kommentoida...
desaster hittejä
desaster, 20.7.2001 13:02:24		 Pisteet: +1
$ grep /default.ida access_log|wc -l
889



huuu.....
anony Alkaa...
anony, 21.7.2001 09:13:22		 Pisteet: 0
Alkaa kyllä vähitellen ottaan päähän ja kovaa nämä idiootit jotka yrittävät käyttää muiden koneita omissa pelleilyissään. Ei syyksi kelpaa se, että koneesta löytyy jokin reikä, tai että pitää saada "mainetta" kun pääsee kaataan jotain koneita. Ja sitten koneet ovat poissa niitä tarvitsevien käytöstä joskus pitkäänkin murtautumisen ja muun pelleilyn jälkeen.

Nämä pellet ovat aivan turhia.

Näin.
"Don't waste time downloading Linux!" -linux-magazine.co.uk
ressu Re: Alkaa...
ressu, 23.7.2001 21:19:47		 Pisteet: 0
Alkaa kyllä vähitellen ottaan päähän ja kovaa nämä idiootit jotka yrittävät käyttää muiden koneita omissa pelleilyissään.
tottahan tuo ärsyttää, ja raivostuttaa. Varsinkin kun ottaa huomioon että tämä ei todellakaan vaikuta vain niihin 'bugisiin' koneisiin vaan koko verkon toimintaan

Nämä pellet ovat aivan turhia.
en nyt ihan noinkaan sanoisi, pakkohan se on jonkun herättää ihmiset. Tapa ei todellakaan ole oikea mutta tehokas.
tämän tapauksen jälkeen ainakin internet bisneksestä karsiutuu (toivottavasti) näitä osaamattomia ylläpitäjiä pois ja niistä jotka jää, ainakin moni ottaa opikseen.

toivotaan silti ettei code red viruksen kirjoittaja ota opikseen virheistään, ja korjaa tuon viruksen skannaamaan koko internetin ja tehokkaammin, poistaa sen rajoittimen (c:\notworm) ja muutenkin hioo tuota hiukan, niin siinä sitä sitten vasta ollaankin.
--
Krijoitusvihreeni ovat kpiosujattuja.