nicht angemeldet
Code Red "Abfangjäger" fertig und erfolgreich getestet!
Hi,
ich habe auf meinem Server eine Falle für den "Code Red" gebaut, wobei jeder Scanversuch dem Admin der "gesehenen" Domain gemeldet wird.
Unter http://rusch.dyndns.org/wurm.txt
bzw. http://www.w3research.com/wurm.txt kann man sich die Ergebnisse ansehen.
Ich habe damit einen der großen Provider wirklich verblüfft, der damit (Untersuchung läuft noch) eine Lücke im eigenen Netzwerk vermutet.
Wer will, kann das Script gerne haben.
Reiner
P.S.: Um Fragen vorzubeugen: mit "gesehen" meine ich u.U. (meist der Fall) den Proxy, durch den der Scan hervorging.
-
Hi,
ich habe auf meinem Server eine Falle für den "Code Red" gebaut, wobei jeder Scanversuch dem Admin der "gesehenen" Domain gemeldet wird.Hi,
technisch verstehe ich kaum was, aber grundsätzlich scheint mir das sehr vernünftig zu sein, was Du da machst.
Meine Frage (an Dich oder andere, die dem Virus auf der Spur sind):
Meine Idee wäre es gewesen, daß man ein Programm schreiben könnte, das bei jeder Anfrage nach default.ida?XXXetc. (das ist doch Code Red?) einen Gegenangriff auslöst, der die Schadensroutine des betroffenen Servers stoppt und ihn damit von außen "heilt". Die Schwachstelle, die der Virus ausnützt, müßte doch jeder andere genauso angreifen können.
Wäre das möglich? Oder wo liegt mein Denkfehler?
Gruß
Christoph
-
Hallo Christoph,
technisch verstehe ich kaum was, aber grundsätzlich scheint mir das sehr vernünftig zu sein, was Du da machst.
na klar! :-)
Meine Frage (an Dich oder andere, die dem Virus auf der Spur sind):
Meine Idee wäre es gewesen, daß man ein Programm schreiben könnte, das bei jeder Anfrage nach default.ida?XXXetc. (das ist doch Code Red?) einen Gegenangriff auslöst, der die Schadensroutine des betroffenen Servers stoppt und ihn damit von außen "heilt". Die Schwachstelle, die der Virus ausnützt, müßte doch jeder andere genauso angreifen können.
NEIN!!!
Das wäre Mist!!!Wäre das möglich? Oder wo liegt mein Denkfehler?
Der Denkfehler ist der, daß der Server, den ich "sehe" nicht der vom Wurm betroffene sein muß. In den meisten Fällen ist es ein Proxy (Provider). Ihn anzugreifen würde mehr Schaden und (verständlichen) Ärger (beim Betreiber) anrichten, als alles andere. Außerdem kann Du mit einem Server alleine keinen größeren Provider lahmlegen, was wohl Deine Intention ist.
Der Witz ist: Code Red arbeitet so!
Er kopiert sich nicht nur auf NT-Server, er pinkt von dort eine IP im Weißen Haus vom bl..den Bush an. Das wirkt (sinnbildlich) wie ein großer Parabolspiegel, wenn Du weißt, was ich meine.Aber, meine Idee ist, einfach den Admin des "gesehenen" Servers zu INFORMIEREN! Er hat damit ja meist wenig am Hut, kann aber widerum in seinen Logs (IP- und Zeitvergleich) nachsehen, wer das gewesen sein könnte, bzw. das nächste Netzwerk informieren, um so schlußendlich den Urheberserver zu ermitteln und dessen Betreiber so über die Schwachstelle zu informieren.
Sinn ist es dann, Bugfixes dort einzuspielen (siehe http://www.w3research.com), die die Lücke beseitigen.
Reiner
-
Moin!
technisch verstehe ich kaum was, aber grundsätzlich scheint mir das sehr vernünftig zu sein, was Du da machst.
Aber eigentlich muesste es sowas doch schon laengst geben, oder?
Meine Idee wäre es gewesen, daß man ein Programm schreiben könnte, das bei jeder Anfrage nach default.ida?XXXetc. (das ist doch Code Red?) einen Gegenangriff auslöst, der die Schadensroutine des betroffenen Servers stoppt und ihn damit von außen "heilt". Die Schwachstelle, die der Virus ausnützt, müßte doch jeder andere genauso angreifen können.
Siehe Reiner. Ausserdem heiligt der Zweck nicht die Mittel. Du wuerdest Dich wohl sogar strafbar machen.
Du kannst aber eine Teergrube gegen Code Red einsetzen. Was das ist, erfaehrst Du z.B. auf http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/ju-05.08.01-000/default.shtml&words=Teergrube
So long
-
Du kannst aber eine Teergrube gegen Code Red einsetzen. Was das ist, erfaehrst Du z.B. auf http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/ju-05.08.01-000/default.shtml&words=Teergrube
Ach ja, haett ich mir denken koennen. http://www.heise.de/newsticker/result.xhtml?url=%2Fnewsticker%2Fdata%2Fju-05.08.01-000%2Fdefault.shtml&words=Teergrube, oder?
So long
-
Hallo,
Du kannst aber eine Teergrube gegen Code Red einsetzen. Was das ist, erfaehrst Du z.B. auf http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/ju-05.08.01-000/default.shtml&words=Teergrube
Frage: Hast Du das Teil mal ausprobiert?
Ich glaube, daß es wohl Wirkung zeigen wird, nur halte ich (pers. Meinung) das Vorgehen für nicht ganz so effektiv!
Du kannst den Wurm langsamer machen -> okay.
Aver wieviele haben Linux und wieviele davon nutzen das Tool?
Einen Admin o.ä. zu informieren, der dann die Warnung seinerseits weitergibt, halte ich für besser, da dann u.U. die Ursache bereinigt wird.Reiner
-
ReHi!
Frage: Hast Du das Teil mal ausprobiert?
Nein. Ich habe auch keinen Webserver laufen, jedenfalls nicht nach aussen hin.
Ich glaube, daß es wohl Wirkung zeigen wird, nur halte ich (pers. Meinung) das Vorgehen für nicht ganz so effektiv!
Du kannst den Wurm langsamer machen -> okay.Ja, was anderes wird nicht versprochen. Ich hab keine Ahnung, ob das wirklich was nuetzt, aber ne Menge Leute scheinen sich was davon zu versprechen.
Aver wieviele haben Linux und wieviele davon nutzen das Tool?
Wieso Linux?
Einen Admin o.ä. zu informieren, der dann die Warnung seinerseits weitergibt, halte ich für besser, da dann u.U. die Ursache bereinigt wird.
Spricht ja nichts dagegen, beides zu verbinden, oder?
So long
-
-
-
-