|
| CodeRed II Fra : Kasper Dupont |
Dato : 19-03-03 07:14 |
|
Nu har jeg i over et år ikke set et eneste CodeRed II angreb.
Men for et par dage siden startede det tilsyneladende igen.
Er der nogen som ved, hvad der foregår? Er det CodeRed II som
er vendt tilbage, eller er det en ny orm eller måske en
modificeret udgave af en velkendt orm?
(Jeg har prøvet at søge på google, men alt jeg fandt omhandler
enten CodeRed I eller er gamle sider fra 2001 hvor CodeRed II
hærgede.)
62.xx.xxx.131 - - [17/Mar/2003:13:44:35 +0100] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-"
62.xx.xxx.131 - - [17/Mar/2003:17:55:26 +0100] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 274 "-" "-"
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
| |
Fischer & Døssing (19-03-2003)
| Kommentar Fra : Fischer & Døssing |
Dato : 19-03-03 07:48 |
|
Kasper Dupont (kasperd@daimi.au.dk) skrev:
> Er der nogen som ved, hvad der foregår? Er det CodeRed II som
> er vendt tilbage, eller er det en ny orm eller måske en
> modificeret udgave af en velkendt orm?
Jeg oversvømmes også.
Min ... apache server ... bombarderes 24x7.
Startede for ca. 7 dage siden.
Førhen var der ikke rigtig nogen Code Red angreb.
--
Peter Thomas Fischer, System Administrator - 62.242.71.26
http://www.fischer.as & http://www.humlebaekonline.dk
*Man kan da ikke tage anonyme brugere seriøst*
| |
Klaus Ellegaard (19-03-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 19-03-03 08:01 |
|
Kasper Dupont <kasperd@daimi.au.dk> writes:
>Nu har jeg i over et år ikke set et eneste CodeRed II angreb.
>Men for et par dage siden startede det tilsyneladende igen.
>Er der nogen som ved, hvad der foregår? Er det CodeRed II som
>er vendt tilbage, eller er det en ny orm eller måske en
>modificeret udgave af en velkendt orm?
Ny udgave: http://www.theregister.co.uk/content/56/29724.html
Mvh.
Klaus.
| |
Rune B. Broberg (19-03-2003)
| Kommentar Fra : Rune B. Broberg |
Dato : 19-03-03 08:27 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Nu har jeg i over et år ikke set et eneste CodeRed II angreb.
[snip]
Jeg tror nu du har været heldig - jeg har jævnligt fået diverse, også
gamle, IIS-attacks imod min Apache. Men der er rigtigt nok kommet en hel
del andre på det sidste - samt, fra et subnet i panama, en del requests
på "\x05\x01".
--
Rune B. Broberg
Feel free to GPG-encrypt email sent to me. Keyid: 0x87CD3DBD
| |
Kasper Dupont (19-03-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 19-03-03 08:52 |
|
"Rune B. Broberg" wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
> > Nu har jeg i over et år ikke set et eneste CodeRed II angreb.
> [snip]
>
> Jeg tror nu du har været heldig - jeg har jævnligt fået diverse, også
> gamle, IIS-attacks imod min Apache.
Der har været mange CodeRed og Nimda angreb. Men CodeRed II var
programmeret til at stoppe sin spredning en gang i slutningen
af 2001. Der er åbenbart kommet en ny udgave af CodeRed II, der
ikke holder op med at sprede sig af sig selv.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);
| |
Allan Olesen (19-03-2003)
| Kommentar Fra : Allan Olesen |
Dato : 19-03-03 18:09 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
>Der har været mange CodeRed og Nimda angreb. Men CodeRed II var
>programmeret til at stoppe sin spredning en gang i slutningen
>af 2001. Der er åbenbart kommet en ny udgave af CodeRed II, der
>ikke holder op med at sprede sig af sig selv.
....og nu troede jeg ellers lige, at de var stoppet, fordi folk
havde faaet patchet deres IIS-servere...
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Klaus Ellegaard (19-03-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 19-03-03 18:32 |
|
Allan Olesen <aolesen@post3.tele.dk> writes:
>...og nu troede jeg ellers lige, at de var stoppet, fordi folk
>havde faaet patchet deres IIS-servere...
Men det havde de så ikke. Godnat og sov godt
Mvh.
Klaus.
| |
|
|