gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Code Red - Give me stats
Contribuído por jmce em 02-08-01 16:57
do departamento o-aroma-dos-logs-pela-manhã
Teenagers com demasiado tempo livre... Branc0 escreve "Estava ontem a ver na TV que afinal o Code Red não tinha tido muito efeito tal como tinha sido previsto. Realmente, peguei nos meus SNORT logs e andei lá a cuscar e só encontrei 3 ataques vindos do exterior que se referiam ao Code Red. Desapontado [a julgar que era hoje que a M$ ia ter um dia dificil] fui para a cama. Mas eis que acordo bem disposto, parecia que tinha dormido com uma daquelas loiras... (NOT). De manhã tinha cerca de 15 ataques feitos desde a meia noite (penso que para um webserver pequeno até é bastante, mas não sei que técnica usa o worm para se propagar). A ideia do artigo era saber se os admins em Portugal foram muitos afectados pelo worm. E já agora, se alguém foi atacado e encontrou nos vossos logs um IP nacional."

Autor do Sircam não poderá ser detido | Primeira webcam leiloada  >

 

gildot Login
Login:

Password:

Referências
  • Branc0
  • Mais acerca Teenagers com demasiado tempo livre...
  • Também por jmce
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    ...as stats ! (Pontos:3, Informativo)
    por NT em 02-08-01 17:44 GMT (#1)
    (Utilizador Info) http://pt-scripters.PTlink.net
    Encontrei aqui uma estatística interessante sobre o Code Red, além disso tem links para conhecer o worm a fundo.

    Drag me, drop me, treat me like an object!
    Re:...as stats ! (Pontos:1)
    por jamaica em 05-08-01 1:15 GMT (#8)
    (Utilizador Info) http://ainda.nao.tenho
    Tenho netcabo, e deixei o meu pc ligado desde as 12:00 de 14 de Agosto - sábado. Sao 1:21 do dia 15, ou seja, +/- 13 horas e meia depois. Deixei o log da (dont laugh) BlackIce Firewall limpo e eis que chego a casa e tenho.. 35 scans 'a porta 80 (28 das maquinas fizeram-nos por 3 vezes, 5 das maquinas fizeram-nos por 2, e depois tenho este infeliz q tentou por 5 vezes IP:212.113.137.51 DNS: ALIPIO MAC: 00E04C018664 e este, por 9(!) vezes IP: 212.113.17.178 NetBIOS: IS~NUMLEVEL3 MAC: 00508BAF6574 DNS: NUMLEVEL3 Presumo que sejam IISes infectados com o CodeRed, pois todos aqueles que ainda estao up sao webservers (nao lhes retribui' nenhum nmap -O para ver qual era o SO, mas penso que a estatistica rondara 100% de servers M$ =). Mas o que mais me chateia e' que o Billou safa-se sempre! Lembro-me de ler no slashdot (nao gurdei o url nem o artigo, sorry) alguem q dizia +/- assim (traducao livre heh):

    "A maneira como o CodeRed esta' a ser difundido pelos Media e':
    1- A internet esta' infectada por um virus terrivel
    2- A M$ criou um antidoto

    I just luuuv marketing =)
    ---------------------
    do rio que tudo arrasta diz-se que é violento,
    mas ninguem diz violentas as margens que o oprimem.
    Berthold Brecht

    Metodo de propagacao (Pontos:0, Informativo)
    por Anonimo Cobarde em 02-08-01 18:08 GMT (#2)
    Nao tem nada a ver com dimensao do site ou links existentes.
    o Worm gera enderecos IP de uma forma aleatoria e envia-se para esses enderecos. Se acertar, acertou. Se falhar, falhou.
    Para teres uma ideia... Nesta madrugada, num espaco de 3 horas, tive 3 hits... Numa linha dial-up :-)
    19 and counting.. (Pontos:1)
    por [WaR] em 02-08-01 18:24 GMT (#4)
    (Utilizador Info) http://war.GenHex.org/
    19 defacements desde dia 1... and counting.
    Isto numa só máquina. Azar dos azares, é um publicfile ;))

    -- [WaR]
    "making rumours true since 1994"
    Re: Nerds (Pontos:0, Informativo)
    por Anonimo Cobarde em 02-08-01 23:25 GMT (#5)
    Como os nerds só gostam de falar em código, e de se gabarem com ironia dos detects, tenho que me dar ao trabalho de dizer aos restantes utilizadores como rastrearem nos seus logs se foram alvos de máquinas infectadas com o code-red (... é incrivel como por aqui se fala tanto e raramente se diz o + importante... pseudo nerds, enfim... ou então n querem admitir publica-gil-mente que até usam IIS...lol).

    Básicamente, basta fazer um text-search dentro dos logs pela string "default.ida" que quase de certeza vai aparecer qq coisa deste género (os dias 18/19 Julho e 1 Agosto foram os mais comuns em portugal):

    193.178.251.88 - - [19/Jul/2001:19:36:53 +0300] "GET /default.ida?NNN
    12.108.167.67 - - [19/Jul/2001:20:19:11 +0300] "GET /default.ida?NNN
    63.201.251.100 - - [19/Jul/2001:20:36:39 +0300] "GET /default.ida?NNN
    24.165.232.243 - - [19/Jul/2001:20:38:27 +0300] "GET /default.ida?NNN
    24.201.186.2 - - [19/Jul/2001:20:41:03 +0300] "GET /default.ida?NNN
    63.142.96.254 - - [19/Jul/2001:21:20:30 +0300] "GET /default.ida?NNN
    O NNN é uma string enorme.
    beijos.

    "O meu software não tem bugs, não tem exploits... pois, ninguem o usa, e eu preciso de vender os meus CD's na Carbono para comprar uns sapatos q a guita acabou-se" - Eu
    Re: Nerds (Pontos:1)
    por jamaica em 03-08-01 14:41 GMT (#6)
    (Utilizador Info) http://ainda.nao.tenho
    Este foi sem duvida alguma o comentario mais pertinente e util que eu vi ha mais de 2 meses no GilDot. Como nao sou um expert tecnico gostei bastante de saber alguma informacao realmente util àcerca do Code Red. Pena que tenha vindo de um Cobarde anónimo.. Precisamos de dados REALMENTE uteis e nao de flames palermas (aka leitao, joao nonio, e muitos outros etc etc etc...) Um abraço.
    ---------------------
    do rio que tudo arrasta diz-se que é violento,
    mas ninguem diz violentas as margens que o oprimem.
    Berthold Brecht
    Stats (and some mumbling) (Pontos:2)
    por jmce em 03-08-01 15:10 GMT (#7)
    (Utilizador Info) http://jmce.artenumerica.org/

    Em cinco computadores (todos a correr Apache sobre Linux), sob diversos ISPs e desde 1 de Agosto até agora (3 de Agosto, 15:30)

    • com 1 endereço IP: 53 tentativas;
    • com 1 endereço IP: 60 tentativas;
    • com 1 endereço IP: 64 tentativas;
    • com 2 endereços IP: 119 tentativas;
    • com 11 endereços IP: 667 tentativas.

    A aproximada proporcionalidade do número de tentativas ao número de endereços IP de cada computador (e o facto de a "popularidade" dos serviços instalados ser bastante variável, com um dos sítios ainda nem sequer livremente acessível) seria esperada pelo que antes se disse, de a worm tentar propagar-se simplesmente ao acaso no espaço dos endereços IP.

    A primeira tentativa desta "onda" aconteceu em 1 de Agosto para cada IP, mas nada a ver com a anúncio catastrófico das "00:00 UTC". Por vezes só aconteceu por volta das 18:00 e tal... Não vi origens portuguesas (mas também não me dei ao trabalho de pesquisar melhor os endereços sem reverse mapping); isso não é de admirar, tendo em conta a distribuição (uniforme?) dos endereços "assaltados" por qualquer computador em qualquer parte do mundo... e a relação do número de computadores (neste caso com IIS) entre Portugal e todo a Internet.

    A crítica do Anónimo acima é importante. Muitas vezes esquecemo-nos no Gildot de que podíamos aproveitar para ir explicando algumas coisas... ou exemplificando como fazemos, e assim estamos mais a falar para quem menos precisa, tornando a discussão desnecessariamente opaca.

    Assim, no caso destes computadores, todos com Debian e a fazer rotação de logs (comprimindo os antigos), bastou pesquisar os não comprimidos (todos os de acesso não comprimidos se chamam "nome-acess.*.log") com
    grep default.ida /var/log/apache/*access*.log | cut -d ":" -f 2|cut -d " " -f 1 > /tmp/fontes
    (numa linha única) para obter a lista de endereços (uso o formato "combined" para os logs). Para depois encontrar os nomes a partir dos endereços IP (quando há "reverse mapping" definido):
    for i in `cat /tmp/fontes`; do host -a $i; done

    Achei curioso (e talvez sintomático de uma mãozinha/mãozorra MS) o facto de na notícia que passou em várias TVs se dizer que "apenas não são vulneráveis o Windows 95, o Windows 98, e o ME". Felizmente às vezes o jornalista de serviço lá remendava, especialmente na SIC onde o entrevistado `pls' foi bastante claro sobre a não vulnerabilidade de variantes de Unix. A MS lá vai conseguindo que os gigantescos defeitos dos seus produtos sejam escondidos atrás de nomes como "vírus da Internet", "worms da Internet", "pirataria", e canalizando o descontentamento dos utilizadores para exigências aos ISPs, empresas de antí-virus, políticas contra "cíber-criminalidade", ... ao mesmo tempo que (lembram-se?) acusa o software livre de não conseguir ter o mesmo "rigoroso controle de qualidade" que só pessoal bem pago e em âmbito empresarial de código fechado conseguiria ter pachorra para fazer.

    Bugs todos têm, e cuidados são sempre necessários, mas neste momento os produtos MS fazem o grande "buraco" da Internet. E os compradores acham normal e não se lembram de pedir contas. Vêem (quando vêem) os documentos privados a ser enviados ao acaso por email e a reacção é análoga a ir chamar a polícia e comprar alarmes enquanto se deixa todas as portas e janelas de casa abertas depois de um assalto.

    Claro que com todos os cuidados legais das licenças, a única forma de os consumidores "ajustarem contas" é deixar de comprar os produtos MS. Especialmente trágico-cómico, quando se compra Microsoft com o argumento de que com software livre "não há ninguém a responsabilizar quando as coisas não funcionam".

    tb quero (Pontos:1)
    por kaser em 06-08-01 9:34 GMT (#9)
    (Utilizador Info) http://kaser.nsk.yi.org
    Porque é que como cliente da bragatel.. nao tenho direito a ataques.. xnif.. tb quero..
    xnif.. xnif..
    abusador .. (Pontos:2)
    por buffer em 08-08-01 0:34 GMT (#10)
    (Utilizador Info) http://xpto dot org
    Nos logs do meu Apache, desde dia 4/Agosto que estou a receber pedidos ..
    De dia 4, até dia 7 (ontem) recebi cerca de 76 pedidos desses. Numa ligação cabo que nem sempre está ligada..

    -- what was my problem with man You ask? No.. I ask you what was man's problem with me..

     

     

    [ Topo | FAQ | Editores | Contacto ]