symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Komische CodeRed-II-Variante?
Veröffentlicht durch DawnRazor am Donnerstag 06. September, 07:21
Aus der verseuchten Abteilung
Internet XTaran schreibt "Beim Herumstöbern in den Logs meines Apaches bin ich heute auf vermutlich eine CodeRed-II-Variante gestossen, deren Requests sich nicht an den HTTP-Standard halten: Sie geben keine HTTP-Methode und auch keinen Pfad mehr an, sondern legen gleich mit dem Query-String los."

"Das sieht dann ungefähr so aus (Ixe gekürzt):

yyy.xxx.co.jp - - [05/Sep/2001:23:29:20 +0200] "XXX[...]XXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u0078%u0000%u00=a HTTP/1.0" 400 - "-" "-"

Klar, daß der Server da nur ein "400 Bad Request" zurückliefert.

Diese Request sind ungefähr gleichzeitig mit CodeRed II aufgetaucht, aber viel seltener: Auf die beiden Hosts, auf denen ich Zugriff zu den Logs habe, gab insgesamt es 115 bzw. 117 solche Requests. (Seit dem Ausbruch von CodeRed II am 4. August 2001, ist fast genau ein Monat vergangen.)

Bisher habe ich in den CERT-Advisories als auch anderen Advisories noch keine solche "Fingerprints" entdeckt. Weiß vielleicht einer der Symlink-Leser, was es mit diesen Requests auf sich hat? Handelt es sich vielleicht um die auf http://www.unixwiz.net/techtips/CodeRedII.html erwähnte Variante von CodeRed II? Zu ihr konnte ich keine technischen Details finden."

Google schlägt sie alle | Druckausgabe | MS-Monopol bei Marken-Notebooks existiert immer noch  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • CERT-Advisories
  • http://www.unixwiz.net/techtip s/CodeRedII.html
  • XTaran
  • Mehr zu Internet
  • Auch von DawnRazor
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Die habe ich nicht.... (Score:2, Interessant)
    Von Obri (daniel@trash.aubry.li) am Thursday 06. September, 10:31 MET (#1)
    (User #466 Info) http://www.aubry.li
    Also bei mir sind keine solchen Requests aufgetaucht, aber es sind scheinbar immer noch Code Red Kisten um Netz :-(
    Code-Red Counter
    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Antw. vom DFN-CERT: Kombination Proxy + CodeRed II (Score:1)
    Von XTaran (symlink at deuxchevaux dot org) am Friday 07. September, 01:44 MET (#2)
    (User #129 Info) http://abe.home.pages.de/

    Auf meine Anfrage beim DFN-CERT bekam ich u.a. folgendes Zitat zugesandt:

    As others have noticed, we had CodeRed logs that came from proxies without the '/default.ida?'. These entries are harmless. Even so we decided to still make rules to isolate these 'attacks' from the efficient ones. We have used the following terms:

    • CodeRedII - via proxy - Uneffective:
      • with ' XXXXXXXX%u9090%u6858 '
      • and ' X-Forwarded '

    Leider war nicht angegeben, woher das Zitat stammt und im Web konnte ich den Text nicht finden.


    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen