Exploit + Worm caos absoluto!!

Escrito el 20 Julio, 2001 – 15:45 | por storm | 1.086 lecturas

“Code Red” el nombre de un gusano que aprovechando un nuevo (y van…) problema de seguridad en el Microsoft IIS esta causando estragos de todo tipo, hay aproximadamente 250.000 casos reportados de servidores caidos en todo el mundo por culpa de este gusano. Apache es inmune al ataque (obviamente) y se estan usando los logs de Apaches para medir el grado de difusion del gusano, mas datos a continuacion…. (sigue)
Especial de ultimo momento para Maldita Internet.

El problema surge de un nuevo exploit encontrado en el IIS que permite, via un buffer-overflow tomar el control del servidor y manipularlo en forma completa (acceso como admin). Alguien programo un gusano denominado “Red Code” que aprovecha este problema y se replica a “n” direcciones IPs en forma pseudo-aleatoria buscando este problema.

Hoy en dia casi todos los servers mediana o altamente activos han sido victimas de uno o varios “intentos” de ataque, el intento se puede reconocer por un pedido “GET” al servidor de la forma:

65.201.146.103 – – [19/Jul/2001:17:58:49 -0400] “GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\%u9090\%u6858\% ucbd3\%u7801\%u9090\%u6858\%ucbd3\%u7801\%u9090\%u6858\%uc bd3\%u7801\%u9090\%u9090\%u8190\%u00c3\%u0003\%u8b00\%u531 b\%u53ff\%u0078\%u0000\%u00=a HTTP/1.0” 400 323 “-” “-”

Buscando un get de /default.ida en el log pueden ver si el gusano ha intentado atacar sus servidores, MI registra 11 intentos en el log y un sitio Taiwanes ha reportado 15.000 requests de este tipo. Si el server es un IIS y no esta patcheado el server automaticamente es derribado por el gusano, si el server es un Apache simplemente devuelve un error y el log registra el intento de ataque

La velocidad de diseminacion del ataque ha sido tan alta que varios servers no podian ser patcheados porque ni bien se levantaba el equipo el server era derribado por algun gusano en cuestion de minutos, un laboratorio suizo reporto “El server se cayo constantemente a lo largo del dia”

El gusano ademas de hacer esto programo ataques de tipo DOS (denial of service) contra el sitio oficial de la casa blanca www.whitehouse.gov desde todos los servidores infectados aunque por un error de programacion del gusano aparentemente este ataque pudo ser bloqueado

Microsoft aun no ha hecho declaraciones al respecto pero esperamos ansionsamente ver que dicen esta vez….

Y aqui vienen todos los links! 🙂 en este sitio (cache)
pueden encontrar una descripcion del problema.
En slashdot (cache)
pueden encontrar la divulgacion y muchos comentarios sobre ataques, prevencion criticas y demas sobre el tema.
Por ultimo pueden encontrar aqui (cache) una descricpion completa del gusano con fuentes y links y mas datos.

You must be logged in to post a comment.

Buscar: