/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Code Red Worm
Fra : F.Larsen


Dato : 01-08-01 10:39

Nogen der har et noget til den ?
Der skulle jo være vild panik i dag ;=)

--
Flemming




 
 
Thomas Maxe (01-08-2001)
Kommentar
Fra : Thomas Maxe


Dato : 01-08-01 11:26

Bortset fra lidt bøvs i Australien (ifølge Sydney Morning Herald) har jeg
absolut intet set/hørt vedr. Code Red Worm.

Mvh.
Thomas B. Maxe
(med denne meddelelse repræsenterer jeg kun mig selv og ikke TDC
Internet/CSIRT.DK)



Andreas Plesner Jaco~ (01-08-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 01-08-01 11:28

In article <O5Q97.3438$V53.341380@news000.worldonline.dk>, F.Larsen wrote:

> Nogen der har et noget til den ?
> Der skulle jo være vild panik i dag ;=)

Som sædvanlig er medierne (og Steve Gibson) gået i selvsving.

--
Andreas Plesner Jacobsen | Nobody ever died from oven crude poisoning.

Hans Pedersen (01-08-2001)
Kommentar
Fra : Hans Pedersen


Dato : 01-08-01 13:22

On Wed, 1 Aug 2001 10:28:11 +0000 (UTC), apj@daarligstil.dk (Andreas
Plesner Jacobsen) wrote:

>og Steve Gibson

Hvem er det?

--
Med venlig hilsen
Hans Pedersen, Esbjerg
http://h2ns.dk
ICQ# 9178476

Andreas Plesner Jaco~ (01-08-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 01-08-01 13:46

In article <v2tfmtg8u9qu8tinln91m7883sh6q1kfkh@4ax.com>, Hans Pedersen wrote:
>
>>og Steve Gibson
>
> Hvem er det?

Selvudnævnt sikkerhedsguru med oppustet ego: www.grc.com

--
Andreas Plesner Jacobsen | If you don't drink it, someone else will.

Hans Pedersen (01-08-2001)
Kommentar
Fra : Hans Pedersen


Dato : 01-08-01 15:47

On Wed, 1 Aug 2001 12:45:35 +0000 (UTC), apj@daarligstil.dk (Andreas
Plesner Jacobsen) wrote:

>Selvudnævnt sikkerhedsguru med oppustet ego: www.grc.com

Nååå ham med den fantastiske firewall-tester.

--
Med venlig hilsen
Hans Pedersen, Esbjerg
http://h2ns.dk
ICQ# 9178476

Brian Kristiansen (01-08-2001)
Kommentar
Fra : Brian Kristiansen


Dato : 01-08-01 21:09

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrn9mfufm.fol.apj@slartibartfast.nerd.dk...
> In article <v2tfmtg8u9qu8tinln91m7883sh6q1kfkh@4ax.com>, Hans Pedersen
wrote:
> >
> >>og Steve Gibson
> >
> > Hvem er det?
>
> Selvudnævnt sikkerhedsguru med oppustet ego: www.grc.com
>
> --
Hej

Sjovt som "folk" bliver ved med at bruge det ord "selvudnævnt", er det jante
loven der taler her ?

Jeg har læst mange af hans artikler og finder dem både interesante og vel
skrevet/formuleret !

Hans programmer er velfungerende, simple, og nemme at bruge !

Kan du evt komme med et par grunde for at han ikke skulle kunne leve op til
det han siger/skriver ?


Det næste bliver vel at folk siger at bill gates intet ved om computere og
bare er et selvudnævnt geni ?


Mvh

brian



Allan Olesen (01-08-2001)
Kommentar
Fra : Allan Olesen


Dato : 01-08-01 21:26

"Brian Kristiansen" <briank@(nospam)superbruger.dk> wrote:

>Kan du evt komme med et par grunde for at han ikke skulle kunne leve op til
>det han siger/skriver ?

Mange er faldet i svime over hans fortælling om dengang, hans
internetforbindelse blev lagt ned, og hvor dygtig han var til at finde
synderne.

Ingen har tilsyneladende undret sig over, hvordan dette geni kunne
finde på helt overlagt at starte den første bot i et ikke-isoleret
miljø - og så endda undre sig over, at den begyndte at angribe andres
maskiner, da han havde startet den.

Hvor længe er det forresten, han har reklameret med, at han har fundet
en revolutionerende metode til at skanne et stort antal portnumre på
ingen tid, og at man snart ser denne service på hans site?

Og hvordan kan noget menneske i ædru tilstand finde på at skrive, at
en åben telnet-port sikkert bare er falsk alarm?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Alex Holst (01-08-2001)
Kommentar
Fra : Alex Holst


Dato : 01-08-01 21:30

Brian Kristiansen <briank@superbruger.dk> wrote:
> Sjovt som "folk" bliver ved med at bruge det ord "selvudnævnt", er det jante
> loven der taler her ?
>
> Jeg har læst mange af hans artikler og finder dem både interesante og vel
> skrevet/formuleret !
>
> Hans programmer er velfungerende, simple, og nemme at bruge !
>
> Kan du evt komme med et par grunde for at han ikke skulle kunne leve op til
> det han siger/skriver ?

Jeg ved ikke helt hvad en "hidden Internet server" eller "stealth mode" er.
Det taler han meget om. Ved du hvad de er?

Han synes ogsaa at raw sockets er nogle farlige nogen. Mange andre har
forsoegt at forklare ham at han tager fejl.

> Det næste bliver vel at folk siger at bill gates intet ved om computere og
> bare er et selvudnævnt geni ?

Bill's styrke lader til at ligge i hans forretningsevner, og ikke hans
computer evner.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Bertel Lund Hansen (01-08-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 01-08-01 22:52

Alex Holst skrev:

>Bill's styrke lader til at ligge i hans forretningsevner, og ikke hans
>computer evner.

Sidespor:
Nej, det er lige omvendt. Bill Gates aner ikke en hujende fis om
hvordan man driver forretning. Han solgte DOS til IBM - det
program der har skaffet ham hans formue. IBM var bare en tak
dummere og solgte det tilbage til ham.

Han gad ikke satse på den bette nebengeschæft som internettet var
- før toget havde fuld fart på og han fik meget travlt.

Han har fået det hele forærende ved rent held.

--
Bertel
Min usenetstatistik er blevet opdateret. Se min
Hjemmeside: http://lundhansen.dk/bertel/
Zipfil: http://lundhansen.dk/bertel/statistik/statistik.zip

Brian Kristiansen (02-08-2001)
Kommentar
Fra : Brian Kristiansen


Dato : 02-08-01 20:07


"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9mgpmg.60i.a@C-Tower.Area51.DK...
>
> Jeg ved ikke helt hvad en "hidden Internet server" eller "stealth mode"
er.
> Det taler han meget om. Ved du hvad de er?
>
Hej

Jeg ved at stealth mode er når ens firewall ikke giver et svar på en
forespørgsel på en af ens port ! (ret god ting)
Quote:
Stalth mode:Firewall hides all ports not used by a program (fra Zonealarm)

"hidden Internet server" er jeg stødt ind i flere gange men kan ikke lige
huske hvad det er

mvh

brian



Andreas Plesner Jaco~ (02-08-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 02-08-01 23:26

In article <9kc8u6$13km$1@news.cybercity.dk>, Brian Kristiansen wrote:
>
>> Jeg ved ikke helt hvad en "hidden Internet server" eller "stealth
>> mode" er. Det taler han meget om. Ved du hvad de er?
>
> Jeg ved at stealth mode er når ens firewall ikke giver et svar på en
> forespørgsel på en af ens port ! (ret god ting)

Nej, det er en fis i en hornlygte. Sikkerhed er noget man får ved at
opføre sig fornuftigt, ikke ved at gemme sin maskine. Hvis din maskine
alligevel ikke lytter på nogen porte sker der intet ved at den sender en
fejl når folk forsøger at kontakte den i modsætning til blot at forholde
sig helt passivt ved en sådan forespørgsel.

> Quote:
> Stalth mode:Firewall hides all ports not used by a program (fra
> Zonealarm)

Og hvad så med den port din IIS webserver bruger? Du ved, den Code Red
angriber. Den er ikke gemt, og du er derfor lige så hårdt ramt som alle
andre IIS brugere.

--
Andreas Plesner Jacobsen | Engineering: "How will this work?"
| Science: "Why will this work?"
| Management: "When will this work?"
| Liberal Arts: "Do you want fries with that?"

Brian Kristiansen (04-08-2001)
Kommentar
Fra : Brian Kristiansen


Dato : 04-08-01 20:23

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrn9mjksf.203.apj@slartibartfast.nerd.dk...
>
> Nej, det er en fis i en hornlygte. Sikkerhed er noget man får ved at
> opføre sig fornuftigt, ikke ved at gemme sin maskine. Hvis din maskine
> alligevel ikke lytter på nogen porte sker der intet ved at den sender en
> fejl når folk forsøger at kontakte den i modsætning til blot at forholde
> sig helt passivt ved en sådan forespørgsel.

WHAT, nåååe så der er altså kun dem som IKKE opfører sig fornuftigt på
nettet der bliver hacket, får virus, osv !

Pjat......at jeg kan "gemme" min maskine er da en fed ting !


> Og hvad så med den port din IIS webserver bruger? Du ved, den Code Red
> angriber. Den er ikke gemt, og du er derfor lige så hårdt ramt som alle
> andre IIS brugere.

du spurgte om hvad han mente med......og jeg svarede, du spurgte ikke om det
var noget værd !

Men det står dig da frit at lave en side om edb sikkerhed bedre end "den
selvbestaltede edb sikkerheds guru" hvis du mener at du kan gøre det bedre


Jeg siger ikke at han er en guru, jeg siger blot at jeg syntes det er noget
fis at bruge nedladende ord om en person som _rigtigt_ mange (edb blade,
etc) siger er ret god til sit område. (og jeg syntes selv at jeg har lært
meget (eller lidt i forhold til så mange andre) fra at læse hans artikler og
bruge hans homepage)

Mvh

brian



Brian Kristiansen (02-08-2001)
Kommentar
Fra : Brian Kristiansen


Dato : 02-08-01 20:11


"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9mgpmg.60i.a@C-Tower.Area51.DK...
>
> Jeg ved ikke helt hvad en "hidden Internet server" eller "stealth mode"
er.
> Det taler han meget om. Ved du hvad de er?
>
Jeg tror at "hidden internet server" er noget i stil med dette :
http://support.microsoft.com/support/kb/articles/Q218/1/80.ASP

Symtoms:
"This header may expose internal IP addresses that are usually hidden or
masked behind a Network Address Translation (NAT) Firewall or proxy server.
"

Mvh

brian



Kent Friis (01-08-2001)
Kommentar
Fra : Kent Friis


Dato : 01-08-01 21:55

Den Wed, 1 Aug 2001 22:09:15 +0200 skrev Brian Kristiansen:
>
>Det næste bliver vel at folk siger at bill gates intet ved om computere og
>bare er et selvudnævnt geni ?

Sjovt nok er der en del der har den opfattelse, at Paul Allen(sp?) var
den tekniske, og Bill Gates stod bag markedsføringen...

Og tilfældigvis blev Windows Microsoft's primære produkt kort efter
at Paul Allen forlod firmaet...

Mvh
Kent
--
Gilthoniel, A Elbereth
Aiya elenion ancalima!
- Tolkien, "The Lord of the Rings"

Andreas Plesner Jaco~ (01-08-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 01-08-01 22:09

In article <9k9nv3$kmg$1@news.cybercity.dk>, Brian Kristiansen wrote:
>> >
>> >>og Steve Gibson
>> >
>> > Hvem er det?
>>
>> Selvudnævnt sikkerhedsguru med oppustet ego: www.grc.com
>
> Sjovt som "folk" bliver ved med at bruge det ord "selvudnævnt", er det jante
> loven der taler her ?

Måske. Jeg refererer blot til hans opfattelse om at han bør sende
pressemeddelelser ud hver gang han gør noget der bør være trivielt for
en sikkerhedsekspert.

> Jeg har læst mange af hans artikler og finder dem både interesante og vel
> skrevet/formuleret !

Men teknisk meget hullede, og indrømmet, det er svært at se for lægmand.

> Hans programmer er velfungerende, simple, og nemme at bruge !

Det ved jeg ikke, jeg bruger ikke et operativsystem de virker på.

> Kan du evt komme med et par grunde for at han ikke skulle kunne leve op til
> det han siger/skriver ?

Alex er kommet med et par af dem - ellers har www.theregister.co.uk et
par af dem. De fleste af de artikler du tilsyneladende er så glad for
ligner ekstra-blads journalistik for mig.
En god parodi på hans artikler er at finde på
http://www.kumite.com/rsnbrgr/rob/grcspoof/ - siden er faktisk et
glimrende eksempel på Gibson's måde at skrive på - brug store bogstaver,
fed skrift og oversimplificeringer til at få dine meninger til at virke
logiske. Ovenstående artikel får rent faktisk email-attachments til at
lyde farlige....får det dig ikke til at tænke?

> Det næste bliver vel at folk siger at bill gates intet ved om computere og
> bare er et selvudnævnt geni ?

Bill er i mine øjne et finansielt/marketing-geni, men i høj grad ikke et
computer-geni.

--
Andreas Plesner Jacobsen | ... the flaw that makes perfection perfect.

Bertel Lund Hansen (01-08-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 01-08-01 23:21

Andreas Plesner Jacobsen skrev:

>Bill er i mine øjne et finansielt/marketing-geni

Ikke forstået. Han har bare været heldig og ind imellem
hæmningsløs.

--
Bertel
Min usenetstatistik er blevet opdateret. Se min
Hjemmeside: http://lundhansen.dk/bertel/
Zipfil: http://lundhansen.dk/bertel/statistik/statistik.zip

Brian Kristiansen (02-08-2001)
Kommentar
Fra : Brian Kristiansen


Dato : 02-08-01 20:13


"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrn9mgrvp.kcq.apj@slartibartfast.nerd.dk...
>
> Måske. Jeg refererer blot til hans opfattelse om at han bør sende
> pressemeddelelser ud hver gang han gør noget der bør være trivielt for
> en sikkerhedsekspert.

Det er jeg så glad for at han gør ...for jeg er ikke "en sikkerhedsekspert"



Mvh

brian



Andreas Plesner Jaco~ (02-08-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 02-08-01 23:23

In article <9kc91k$13of$1@news.cybercity.dk>, Brian Kristiansen wrote:
>
>> Måske. Jeg refererer blot til hans opfattelse om at han bør sende
>> pressemeddelelser ud hver gang han gør noget der bør være trivielt for
>> en sikkerhedsekspert.
>
> Det er jeg så glad for at han gør ...for jeg er ikke "en
> sikkerhedsekspert"

Også hvis de er direkte misvisende?

>

Jeg synes faktisk det er sørgeligt.

--
Andreas Plesner Jacobsen | BLISS is ignorance.

Brian Kristiansen (04-08-2001)
Kommentar
Fra : Brian Kristiansen


Dato : 04-08-01 20:26


"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrn9mjkle.203.apj@slartibartfast.nerd.dk...
> In article <9kc91k$13of$1@news.cybercity.dk>, Brian Kristiansen wrote:
> >
>
> Også hvis de er direkte misvisende?
>
Du mener HELT seriøst at hans sider og kommentarer er misvisende (wow)
>
> Jeg synes faktisk det er sørgeligt.

Suk !


mvh

brian



Alex Holst (04-08-2001)
Kommentar
Fra : Alex Holst


Dato : 04-08-01 21:03

Brian Kristiansen <briank@superbruger.dk> wrote:
> "Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
> news:slrn9mjkle.203.apj@slartibartfast.nerd.dk...
>> In article <9kc91k$13of$1@news.cybercity.dk>, Brian Kristiansen wrote:
>> >
>>
>> Også hvis de er direkte misvisende?
>>
> Du mener HELT seriøst at hans sider og kommentarer er misvisende (wow)

Ja, f.eks. med ord som "hidden Internet server" og "stealth mode."

"My Code Red Analysis leads me to believe that the Internet has not
seen the last of the Microsoft IIS Code Red Worm. In fact, I'm not
sure how we're ever going to get rid of it!"

Aha.

Laes hvordan Steve siden 1992 har talt i tekniske termer der kan overbeviser
enhver der ikke ved bedre. http://www.grcsucks.com/ -- Jeg er ikke psykolog,
men selv for mig er det tydeligt at han er dygtig til at skrive
manipulerende og jeg forstaar udemaerket hvorfor folk uden anden kendskab
falder for det.

"Almindelige mennesker" tror Steve taler 100%, og folk der arbejder med
sikkerhed til daglig paapeger gang paa gang at han misforstaar mange ting
han begiver sig i kast med. Finder du ikke det betaenktsomt?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Brian Kristiansen (04-08-2001)
Kommentar
Fra : Brian Kristiansen


Dato : 04-08-01 21:57

Hej


hummm, efter at have kikket lidt på http://www.grcsucks.com, så må jeg vel
bøje mig "lidt"......

Men mit første indlæg var faktisk mere præget af at jeg er så træt af at
jante loven hele tiden dukker op i danmark....

I andre lande klapper man sine venner på ryggen når de har gjort noget
_stort_, i danmark _stikker_ man hinanden en kniv i ryggen når man har gjort
noget _stort_.


mvh

brian



Alex Holst (04-08-2001)
Kommentar
Fra : Alex Holst


Dato : 04-08-01 22:57

Brian Kristiansen <briank@superbruger.dk> wrote:
> Men mit første indlæg var faktisk mere præget af at jeg er så træt af at
> jante loven hele tiden dukker op i danmark....
>
> I andre lande klapper man sine venner på ryggen når de har gjort noget
> _stort_, i danmark _stikker_ man hinanden en kniv i ryggen når man har gjort
> noget _stort_.

Nu har jeg boet i Irland i 4 aar, og jeg ser konstant at folk tramper paa
hinanden. Der er blot ikke et ord for det her, og Irlaenderne er ikke saa
snaeversynet at tro de er de eneste i verdenen der ikke altid er lige rare
ved deres medmennesker.

Ahem, off topic.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Allan Olesen (04-08-2001)
Kommentar
Fra : Allan Olesen


Dato : 04-08-01 23:13

"Brian Kristiansen" <briank@(nospam)superbruger.dk> wrote:

>Men mit første indlæg var faktisk mere præget af at jeg er så træt af at
>jante loven hele tiden dukker op i danmark....

Ja, nogen tror, at de ser den overalt...

Ærlig talt:
Selv hvis man intet ved om IT-sikkerhed, bør herr Gibsons skrivestil i
det mindste få et par alarmklokker til at ringe. Når en person i den
grad har et behov for at fortælle, hvor smart han er, er der ret stor
sandsynlighed for, at han er fuld af varm luft og intet andet. Hvis
han virkelig var så smart, kunne han roligt overlade til andre at
fortælle det.

Den holdning kan du vælge at kalde jantelov, men jeg tror faktisk
ikke, det var holdninger som min, Sandemose havde i tankerne, da han i
sin tid skrev janteloven.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Bertel Lund Hansen (05-08-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 05-08-01 11:18

Allan Olesen skrev:

>Den holdning kan du vælge at kalde jantelov, men jeg tror faktisk
>ikke, det var holdninger som min, Sandemose havde i tankerne, da han i
>sin tid skrev janteloven.

Det tror jeg heller ikke (bedømt ud fra Janteloven selv). Loven
fortæller hvordan undermålere kan nedgøre folk der faktisk ved
noget.

Når Janteloven misbruges - hvilket som regel er tilfældet når den
påkaldes - er det af undermålere der jamrer over at de er blevet
afsløret af folk der ved noget.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Peter Brodersen (05-08-2001)
Kommentar
Fra : Peter Brodersen


Dato : 05-08-01 16:41

On Sat, 4 Aug 2001 22:56:49 +0200, "Brian Kristiansen"
<briank@(nospam)superbruger.dk> wrote:

>Men mit første indlæg var faktisk mere præget af at jeg er så træt af at
>jante loven hele tiden dukker op i danmark....

Det gør den ikke. Janteloven findes ikke. Eller rettere; de eneste,
der holder myten om den i live, er folk, der brokker sig over den.

Tekniker: "Der findes tekniske beviser for at der tages fejl på..."
Person: "JANTELOV! JANTELOV!"
Tekniker: "?!?"
Person: "JEG HADER JANTELOVEN!"
Tekniker: "Hvorfor bragte du den så på banen?"

--
- Peter Brodersen

Thomas Jespersen (03-08-2001)
Kommentar
Fra : Thomas Jespersen


Dato : 03-08-01 13:18

"Brian Kristiansen" <briank@(nospam)superbruger.dk> writes:

> Kan du evt komme med et par grunde for at han ikke skulle kunne leve op til
> det han siger/skriver ?

http://www.grcsucks.com/

Alex Holst (03-08-2001)
Kommentar
Fra : Alex Holst


Dato : 03-08-01 14:50

Thomas Jespersen <thomas@daimi.au.dk> wrote:
> "Brian Kristiansen" <briank@(nospam)superbruger.dk> writes:
>
>> Kan du evt komme med et par grunde for at han ikke skulle kunne leve op til
>> det han siger/skriver ?
>
> http://www.grcsucks.com/

HA! Den kendte jeg ikke til. Nu ved jeg da hvor dyekjaer fik sin "protected
mode" ide fra:

"Only a next-generation protected-mode operating system can enforce the
levels of security required to provide complete viral immunity," Gibson
declared in 1992."

(http://vmyths.com/rant.cfm?id=348&page=4)


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


F.Larsen (04-08-2001)
Kommentar
Fra : F.Larsen


Dato : 04-08-01 00:26

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9mlb06.j30.a@C-Tower.Area51.DK...
> Thomas Jespersen <thomas@daimi.au.dk> wrote:
> >
> > http://www.grcsucks.com/
>
> HA! Den kendte jeg ikke til. Nu ved jeg da hvor dyekjaer fik sin "protected
> mode" ide fra:

hmm, den kendte jeg heller ikke. men nok er han god til at føre sig "selv" frem,
men hans vejledning om netbios tcp/ip for at lukke hullerne i windows 98 fremstår
står stadig for mig som et par guldkorn.

--
Flemming
Stop vandviddet http://www.StopCopyDan.dk/
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/




Bertel Lund Hansen (04-08-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 04-08-01 09:52

F.Larsen skrev:

>men hans vejledning om netbios tcp/ip for at lukke hullerne i windows 98 fremstår
>står stadig for mig som et par guldkorn.

Det er vist det eneste der ikke bliver pillet *helt* ned i
kritikken af hans medieshow. Prøv at følge linket; det er
tankevækkende læsning (for en som mig der også faldt for hans
udgydelser).

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Jesper Dybdal (01-08-2001)
Kommentar
Fra : Jesper Dybdal


Dato : 01-08-01 13:28

apj@daarligstil.dk (Andreas Plesner Jacobsen) wrote:

>In article <O5Q97.3438$V53.341380@news000.worldonline.dk>, F.Larsen wrote:
>
>> Nogen der har et noget til den ?
>> Der skulle jo være vild panik i dag ;=)
>
>Som sædvanlig er medierne (og Steve Gibson) gået i selvsving.

Medier og Steve Gibson går jo i selvsving hvert øjeblik, men det er faktisk
ikke ret tit at CERT gør det.

Hvis Code Red ikke inficerer en hel masse servere i dag, så kunne det jo netop
være fordi den megen fokus der har været på den, har fået folk til at
installere MS's fix. Og i så fald er "selvsvinget" jo fornuftigt nok.

Jeg synes du med din kommentar her lyder lidt som dem der mener, at alle de
penge der blev brugt på år 2000-problemer, er spildt fordi "det jo gik fint".

Men bevares, det er lidt ubegribeligt at medierne ikke kan forstå at det her
er anderledes end en normal virus, specielt at man altså ikke behøver
forskrække alle der har en dial-in-forbindelse til Internettet.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Andreas Plesner Jaco~ (01-08-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 01-08-01 13:47

In article <m1tfmtkhbai07sgmndrpr93n2vokhi3ho4@news.tele.dk>, Jesper Dybdal wrote:
>
>>> Nogen der har et noget til den ?
>>> Der skulle jo være vild panik i dag ;=)
>>
>>Som sædvanlig er medierne (og Steve Gibson) gået i selvsving.
>
> Medier og Steve Gibson går jo i selvsving hvert øjeblik, men det er faktisk
> ikke ret tit at CERT gør det.
>
> Hvis Code Red ikke inficerer en hel masse servere i dag, så kunne det jo netop
> være fordi den megen fokus der har været på den, har fået folk til at
> installere MS's fix. Og i så fald er "selvsvinget" jo fornuftigt nok.

Og hvis den gør, hvad så? Hvorfor er det så forfærdeligt? Den er jo
forholdsvist uskadelig, udover dens indbyggede DoS-angreb, og jeg
behøver vel ikke fortælle, hvor mange steder www1.whitehouse.gov blev
blackholet i første omgang?

--
Andreas Plesner Jacobsen | If you don't drink it, someone else will.

Jesper Dybdal (01-08-2001)
Kommentar
Fra : Jesper Dybdal


Dato : 01-08-01 14:27

apj@daarligstil.dk (Andreas Plesner Jacobsen) wrote:

>In article <m1tfmtkhbai07sgmndrpr93n2vokhi3ho4@news.tele.dk>, Jesper Dybdal wrote:
>> Hvis Code Red ikke inficerer en hel masse servere i dag, så kunne det jo netop
>> være fordi den megen fokus der har været på den, har fået folk til at
>> installere MS's fix. Og i så fald er "selvsvinget" jo fornuftigt nok.
>
>Og hvis den gør, hvad så? Hvorfor er det så forfærdeligt? Den er jo
>forholdsvist uskadelig,

Jeg skal gerne indrømme at jeg personligt overhovedet ikke er i stand til at
vurdere hvor mange maskiner Code Red kan sprede sig til, og hvor meget
trafikpåvirkningen fra de maskiner vil gå ud over Internettets almindelige
funktion.

Jeg har valgt at tro på CERT, som jo plejer at være ganske sobre, når de
påstår at det kan gå alvorligt ud over Internettets funktion.

Det er absolut muligt at du har ret, og at CERT har overvurderet faren. Den
19. oplevede jeg ganske rigtigt absolut ikke som en katastrofe - på den anden
side spredte den sig jo kun i et begrænset tidsrum inden det blev den 20, og
CERT har tilsyneladende regnet på sagen siden da. Jeg har i hvert fald ikke
belæg for at mene at CERT ikke har ret i at det er en alvorlig trussel.

>udover dens indbyggede DoS-angreb, og jeg
>behøver vel ikke fortælle, hvor mange steder www1.whitehouse.gov blev
>blackholet i første omgang?

Nej, jeg er ikke ret bekymret for det den laver fra den 20. og måneden ud -
det er jo dejlig nemt at blokere for. Jeg opfatter den kun som et muligt
trafikmæssigt problem i den fase hvor den spreder sig.

Min egen hjemmeserver har hidtil kun set den én gang i dag, kl. 14:33. Den så
den 28 gange den 19., begyndende ud på eftermiddagen.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Alex Holst (01-08-2001)
Kommentar
Fra : Alex Holst


Dato : 01-08-01 14:39

Jesper Dybdal <jdunet@u6.dybdal.dk> wrote:
>>Og hvis den gør, hvad så? Hvorfor er det så forfærdeligt? Den er jo
>>forholdsvist uskadelig,
>
> Jeg skal gerne indrømme at jeg personligt overhovedet ikke er i stand til at
> vurdere hvor mange maskiner Code Red kan sprede sig til, [..]

http://www.incidents.org/ har en graf over antal infektioner opfanget af
ders Internet Storm Centre.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


F.Larsen (01-08-2001)
Kommentar
Fra : F.Larsen


Dato : 01-08-01 22:37

Nå men den dukke så op idag som forudsagt.

Jeg havde sat en specielt virtual web site op til at den type af request som ormen
foretager, her er hvad der kom i loggen i dag:

2001-08-01 16:14:02 204.142.141.85 - 255.255.255.255 80 GET /default.ida
2001-08-01 17:34:48 216.227.26.89 - 255.255.255.255 80 GET /default.ida
2001-08-01 18:00:34 211.121.219.183 - 255.255.255.255 80 GET /default.ida
2001-08-01 18:02:52 195.170.104.73 - 255.255.255.255 80 GET /default.ida
2001-08-01 18:40:06 203.253.207.68 - 255.255.255.255 80 GET /default.ida
2001-08-01 18:50:56 193.217.217.243 - 255.255.255.255 80 GET /default.ida
2001-08-01 19:14:25 24.168.100.39 - 255.255.255.255 80 GET /default.ida
2001-08-01 20:53:58 66.87.22.231 - 255.255.255.255 80 GET /default.ida NN% 404
www.worm.com - -

Bemærk den sidste adrese - som er http_referer, den er ny ;=)

Udfra de servere som jeg har kendskab til, er det min indtryk på at udbredelsen
er for denne orm er større end normalt...

--
Flemming

Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9mg1k0.2m2.a@C-Tower.Area51.DK...
> Jesper Dybdal <jdunet@u6.dybdal.dk> wrote:
> >>Og hvis den gør, hvad så? Hvorfor er det så forfærdeligt? Den er jo
> >>forholdsvist uskadelig,
> >
> > Jeg skal gerne indrømme at jeg personligt overhovedet ikke er i stand til at
> > vurdere hvor mange maskiner Code Red kan sprede sig til, [..]



Andreas Plesner Jaco~ (01-08-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 01-08-01 22:54

In article <pC_97.192$xn.31181@news010.worldonline.dk>, F.Larsen wrote:
>
> Jeg havde sat en specielt virtual web site op til at den type af
> request som ormen foretager, her er hvad der kom i loggen i dag:

$ grep -c default.ida /var/log/apache/access.log
71

--
Andreas Plesner Jacobsen | Byte your tongue.

Allan Joergensen (02-08-2001)
Kommentar
Fra : Allan Joergensen


Dato : 02-08-01 08:39

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

> $ grep -c default.ida /var/log/apache/access.log
> 71

/usr/local/apache/logs/www.nowhere.dk-access_log:39

Det var rimmelig tyndt.

--
Allan Joergensen (AJ1382-RIPE) - [DW] on the Undernet
Homepage: <URL:http://www.nowhere.dk/>
NT scales to quad Xeons? Linux scales to S/390. Benchmark that, soft ones.
I know karate (and seven other Japanese words).

Henrik Christian Gro~ (02-08-2001)
Kommentar
Fra : Henrik Christian Gro~


Dato : 02-08-01 10:31

dw@nowhere.dk (Allan Joergensen) writes:

> > $ grep -c default.ida /var/log/apache/access.log
> > 71
>
> /usr/local/apache/logs/www.nowhere.dk-access_log:39

Jeg har 22 på et domæne og 15 på et andet, det er det samme som første
gang, der var det bare 19+18.

Ikke nogen stor skandale for min båndbredde.

..Henrik

--
"Det er fundamentalt noget humanistisk vås, at der er noget,
der hedder blød matematik."
--- citat Henrik Jeppesen, dekan for det naturvidenskabelige fakultet

Allan Joergensen (02-08-2001)
Kommentar
Fra : Allan Joergensen


Dato : 02-08-01 11:45

Henrik Christian Grove <grove@sslug.dk> wrote:

>> /usr/local/apache/logs/www.nowhere.dk-access_log:39
> Jeg har 22 på et domæne og 15 på et andet, det er det samme som første
> gang, der var det bare 19+18.
> Ikke nogen stor skandale for min båndbredde.

ud af ca. 15 domæner på den maskine var det alt.

--
Allan Joergensen (AJ1382-RIPE) - [DW] on the Undernet
Homepage: <URL:http://www.nowhere.dk/>
NT scales to quad Xeons? Linux scales to S/390. Benchmark that, soft ones.
I know karate (and seven other Japanese words).

Andreas Plesner Jaco~ (02-08-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 02-08-01 11:46

In article <slrn9mibpu.fba.dw@dustpuppy.nowhere.dk>, Allan Joergensen wrote:
>
>>> /usr/local/apache/logs/www.nowhere.dk-access_log:39
>> Jeg har 22 på et domæne og 15 på et andet, det er det samme som første
>> gang, der var det bare 19+18.
>> Ikke nogen stor skandale for min båndbredde.
>
> ud af ca. 15 domæner på den maskine var det alt.

Code Red går efter IPer, ikke domæner.

--
Andreas Plesner Jacobsen | "Morality is one thing. Ratings are everything."
| - A Network 23 executive on "Max Headroom"

Allan Joergensen (02-08-2001)
Kommentar
Fra : Allan Joergensen


Dato : 02-08-01 18:11

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:

>> ud af ca. 15 domæner på den maskine var det alt.
> Code Red går efter IPer, ikke domæner.

Dem er der en 5-6 stykker af ;)

--
Allan Joergensen (AJ1382-RIPE) - [DW] on the Undernet
Homepage: <URL:http://www.nowhere.dk/>
NT scales to quad Xeons? Linux scales to S/390. Benchmark that, soft ones.
I know karate (and seven other Japanese words).

Niels Callesøe (02-08-2001)
Kommentar
Fra : Niels Callesøe


Dato : 02-08-01 03:07

apj@daarligstil.dk (Andreas Plesner Jacobsen) wrote in
<news:slrn9mfuii.fol.apj@slartibartfast.nerd.dk>:

> Og hvis den gør, hvad så? Hvorfor er det så forfærdeligt? Den er jo
> forholdsvist uskadelig, udover dens indbyggede DoS-angreb, og jeg
> behøver vel ikke fortælle, hvor mange steder www1.whitehouse.gov blev
> blackholet i første omgang?

Jeg tror du begår er en stor fejl i at undervurdere de problemer Code
Red kan forårsage. Det er ikke det direkte DDoS-angreb der er
problemet, men derimod det (temmeligt høje) antal probes (GET requests)
der genereres af ormen.

Hvis (når) servere nok er inficerede og travlt beskæftigede med at
sende hinanden disse probes, er der faktisk en reel sandsynlighed for
at det alene kan generere trafik nok til at forårsage problemer på
nettet generelt og ikke bare for de servere der er inficerede. Det kan
ikke mærkes lige nu, og hvis vi er heldige (og mediernes "selvsving"
har haft den ønskede effekt) kommer vi heller ikke til det.

Alligevel er det værd at bemærke at der nu, et døgn efter ormen blev
gen-aktiveret, er 149.825 formodede inficerede hosts[1]. Den nåede
sidste gang 280.391 og det over væsentligt længere tid. Ormen har altså
spredt sig *hurtigere* end den gjorde sidste gang og ikke langsommere.

Hvis du skulle være i tvivl om hvorvidt ormens probes kan generere
trafik nok til at være et problem i sig selv, så prøv at kigge på hvor
meget data der sendes pr. request og multiplicer det med antal af hosts
og antal af requests. Det giver hurtigt nogle *ret* store tal.

Det virker altså på mig som om medierne (inkl. Steve Gibson) aldeles
ikke har overreageret mht. Code Red. Selvfølgelig vil tiden vise om din
"laid back" indstilling til problemet holder, men.. jeg tror vi skal
være taknemmelige for at ikke alle har den holdning.


[1]: Iflg. incidents.org

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

Niels Callesøe (02-08-2001)
Kommentar
Fra : Niels Callesøe


Dato : 02-08-01 03:32

"Niels Callesøe" <usenet.20.niels2000@spamgourmet.com> wrote in
<news:Xns90F129D44119Fk5j6h4jk3@193.88.15.201>:

> Alligevel er det værd at bemærke at der nu, et døgn efter ormen
> blev gen-aktiveret, er 149.825 formodede inficerede hosts[1]. Den
> nåede sidste gang 280.391 og det over væsentligt længere tid. Ormen
> har altså spredt sig *hurtigere* end den gjorde sidste gang og ikke
> langsommere.

Her må jeg lige rette mig selv:

Det er ikke helt klar om det faktisk var over længere tid sidste gang.
Iflg. Microsofts security bulletin var det faktisk over noget kortere
tid (250.000 hosts på 9 timer).

Man har i hvert fald lov at håbe at det har nyttet noget at informere
om problemet så det ikke bliver så stort, selvom de nuværende varianter
(CRv2a og b) skulle være bedre i stand til at sprede sig end den
oprindelige.

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

Andreas Plesner Jaco~ (02-08-2001)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 02-08-01 11:00

In article <Xns90F129D44119Fk5j6h4jk3@193.88.15.201>, Niels Callesøe wrote:
>
>> Og hvis den gør, hvad så? Hvorfor er det så forfærdeligt? Den er jo
>> forholdsvist uskadelig, udover dens indbyggede DoS-angreb, og jeg
>> behøver vel ikke fortælle, hvor mange steder www1.whitehouse.gov blev
>> blackholet i første omgang?
>
> Jeg tror du begår er en stor fejl i at undervurdere de problemer Code
> Red kan forårsage. Det er ikke det direkte DDoS-angreb der er
> problemet, men derimod det (temmeligt høje) antal probes (GET requests)
> der genereres af ormen.

For at det udsagn skal have nogen vægt skal du sammenligne tallet med
den normale trafikmængde på Internet.
Lad os sige 100000 hosts, der sender 100 probes @ ca 400 bytes pr
request pr sekund. Det giver altså ca 30Gbps trafik. Når vi så overvejer
at de fleste hosts står hos diverse kabeludbydere i USA, som bruger
2.5Gbps mange steder i deres backbone er det altså småting.

--
Andreas Plesner Jacobsen | This file will self-destruct in five minutes.

Allan Olesen (02-08-2001)
Kommentar
Fra : Allan Olesen


Dato : 02-08-01 17:59

"Niels Callesøe" <usenet.20.niels2000@spamgourmet.com> wrote:

>Det giver hurtigt nogle *ret* store tal.

Tag derefter dette store tal og del det med antallet af maskiner på
Internettet. Sammenhold det nye tal med den typiske trafik til en
maskine på Internettet. En bagatel.

Hvis man regner på din måde, kan man få båndbreddeforbruget fra
traceroute til at ligne Internettets undergang.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Niels Callesøe (06-08-2001)
Kommentar
Fra : Niels Callesøe


Dato : 06-08-01 00:05

Andreas Plesner Jacobsen wrote in
<news:slrn9mfuii.fol.apj@slartibartfast.nerd.dk>:

>> Hvis Code Red ikke inficerer en hel masse servere i dag, så kunne
>> det jo netop være fordi den megen fokus der har været på den, har
>> fået folk til at installere MS's fix. Og i så fald er
>> "selvsvinget" jo fornuftigt nok.
>
> Og hvis den gør, hvad så? Hvorfor er det så forfærdeligt? Den er jo
> forholdsvist uskadelig, udover dens indbyggede DoS-angreb, og jeg
> behøver vel ikke fortælle, hvor mange steder www1.whitehouse.gov
> blev blackholet i første omgang?

Nu hvor der er gået et par dage yderligere og den fine nye Code Red
Mark III er på gaden, er du så stadig af den overbevisning at den er
"forholdsvis uskadelig" og at der bare er tale om media hype?

For mit vedkommende ville jeg nærmest ønske den havde været hypet noget
mere, så endnu flere systemer havde været sikrede før det kom så vidt..

Jeg vil ikke påstå at *jeg* havde forudset at nogen ville lave en ny
variant der var så meget farligere end den gamle, men det understreger
med al ønskelig tydelighed faren ved bare at lade som ingenting, fordi
det ikke lige er ens eget problem lige nu.

--
Niels Callesøe - nørd light @work
"Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet"
Disclaimer: http://www.spacefish.net/nica/index.php3?step=disclaim

John Hinge (06-08-2001)
Kommentar
Fra : John Hinge


Dato : 06-08-01 10:05

"Niels Callesøe" wrote:
>
> Jeg vil ikke påstå at *jeg* havde forudset at nogen ville lave en ny
> variant der var så meget farligere end den gamle, men det understreger
> med al ønskelig tydelighed faren ved bare at lade som ingenting, fordi
> det ikke lige er ens eget problem lige nu.
>
Men jeg vil godt henlede opmærksomheden på indtil flere samtaler
i nærheden af DOF pinden i den forgangne uge hvor 'man' netop snakkede
om hvordan den første udgave var relativt fredelig og man sagtens ku
ha puttet væsentlig ondere payloads i den.
Og hvad er det der sket ? ondere payload jep. ellere rettere den sender
jo ikke payloaded med, men kopierer CMD.exe ind så maskinen får en fin
telnet baseret command interface. suk.

Iøvrigt er det fascinerende så hurtig at Code Red II (.ida?XXXXXX....)
har gjort sig 'stor' i min logfil..
Code Red I (?NNNNNN...) er ved at klinge af men i går f.eks havde jeg :
23 version 2 besøg
6 version 1 besøg
og det var på cirka 6 timer, så det var da ganske festligt.

Jeg sidder stadig og lurer lidt på at lave en slags tæller i perl
gemme den som default.ida og så køre den på min webserver
(OmniHTTPd 2.08) så ku jeg helt automagisk holde hus med det.
Jeg har godt set nogen har lavet noget lignende, men det er en
log analyzer og den er til apaske :)

--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

Niels Callesøe (06-08-2001)
Kommentar
Fra : Niels Callesøe


Dato : 06-08-01 12:05

John Hinge <shayera_gimmenospam_@cutey.com> wrote in
<news:3B6E5DC5.36150A73@cutey.com>:

> "Niels Callesøe" wrote:
>>
>> Jeg vil ikke påstå at *jeg* havde forudset at nogen ville lave en
>> ny variant der var så meget farligere end den gamle, men det
>> understreger med al ønskelig tydelighed faren ved bare at lade som
>> ingenting, fordi det ikke lige er ens eget problem lige nu.
>>
> Men jeg vil godt henlede opmærksomheden på indtil flere samtaler
> i nærheden af DOF pinden i den forgangne uge hvor 'man' netop
> snakkede om hvordan den første udgave var relativt fredelig og man
> sagtens ku ha puttet væsentlig ondere payloads i den.

Hah! Det er da også rigtigt. Den samtale havde jeg fuldstændig svedt
ud. Godt, jeg omformulerer:

Jeg havde ikke, på Usenet, forudset at nogen ville lave en ny virant
der var så meget farligere end den gamle.

Så fik vi også det på plads..

> Og hvad er det der sket ? ondere payload jep. ellere rettere den
> sender jo ikke payloaded med, men kopierer CMD.exe ind så maskinen
> får en fin telnet baseret command interface. suk.

Den gør faktisk mere end det. Via en "falsk" explorer.exe får den
skrevet diverse nøgler til registreringsdatabasen der bl.a. deler C:\
og D:\ via IIS5.

> Iøvrigt er det fascinerende så hurtig at Code Red II
> (.ida?XXXXXX....) har gjort sig 'stor' i min logfil..
> Code Red I (?NNNNNN...) er ved at klinge af men i går f.eks havde
> jeg : 23 version 2 besøg
> 6 version 1 besøg
> og det var på cirka 6 timer, så det var da ganske festligt.

Den spreder sig også både bedre og hurtigere end den gamle.. der findes
adskillige analyser af ormen der forklarer hvorfor den er det, rundt
omkring. Her er en af dem:

http://grc.com/x/talk.exe?cmd=article&group=grc.news&item=171&utag=

> Jeg sidder stadig og lurer lidt på at lave en slags tæller i perl
> gemme den som default.ida og så køre den på min webserver
> (OmniHTTPd 2.08) så ku jeg helt automagisk holde hus med det.

Jaeh, det ku man vel godt. Men hvorfor ikke bare lave et lille
Perlscript der tæller dem ud fra loggen i stedet?

> Jeg har godt set nogen har lavet noget lignende, men det er en
> log analyzer og den er til apaske :)

Som en lille fodnote fandt jeg for lidt siden et meget lille perl
script der ikke lavede andet end at lytte på port 80, modtage og logge
requests, og så smide forbindelsen igen. Ret smart hvis man uden
webserver gerne vil se hvor mange Code Red/diverse connects der kommer
udefra til ens maskine (og til hvilken IP hvis man har flere). Desværre
kan jeg ikke lige finde det igen pt. :/

Nåja, hvis man var en ordentlig Perl hacker (hvilket jeg bestemt ikke
er) kunne man vel bare skrive det selv..

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

John Hinge (06-08-2001)
Kommentar
Fra : John Hinge


Dato : 06-08-01 14:14

"Niels Callesøe" wrote:
>
>
> Som en lille fodnote fandt jeg for lidt siden et meget lille perl
> script der ikke lavede andet end at lytte på port 80, modtage og logge
> requests, og så smide forbindelsen igen. Ret smart hvis man uden
> webserver gerne vil se hvor mange Code Red/diverse connects der kommer
> udefra til ens maskine (og til hvilken IP hvis man har flere). Desværre
> kan jeg ikke lige finde det igen pt. :/
>

Men nu kører jeg jo ligepræcis en webbeserver selv, ikke at den er vildt
meget besøgt af andre end dem sor har de hemmelige urls :)
spoon.adsl.dk er i sig selv måske sjo at besøge en enkelt gang, og
så ser jeg ikke folk igen, så for tiden er det meste af min logfil
fyldt op med default.ida og så diverse snedige urls hentet fra fw1



> Nåja, hvis man var en ordentlig Perl hacker (hvilket jeg bestemt ikke
> er) kunne man vel bare skrive det selv..
>

Hvis ikke det var fordi alt det her code red sjov nok er slut før jeg
vilel være færdig ku jeg faktisk godt overveje at lave en ISAPI .dll
som så sku lytte til de her .ida requests, skrive i en lille fil, og
på en relevant url vise dem som en fin oversigt med ip adresse etc.


--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

Niels Callesøe (14-08-2001)
Kommentar
Fra : Niels Callesøe


Dato : 14-08-01 21:13

Niels Callesøe wrote in
<news:Xns90F5850975508k5j6h4jk3@193.88.15.201>:

> Som en lille fodnote fandt jeg for lidt siden et meget lille perl
> script der ikke lavede andet end at lytte på port 80, modtage og
> logge requests, og så smide forbindelsen igen. Ret smart hvis man
> uden webserver gerne vil se hvor mange Code Red/diverse connects
> der kommer udefra til ens maskine (og til hvilken IP hvis man har
> flere). Desværre kan jeg ikke lige finde det igen pt. :/

Fundet!

WebSnaf hedder den lille util, og den kan findes her:

http://www.unixwiz.net/tools/websnarf.html

--
Niels Callesøe - nørd light @work
"Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet"
Disclaimer: http://www.spacefish.net/nica/index.php3?step=disclaim

Brian Kristiansen (01-08-2001)
Kommentar
Fra : Brian Kristiansen


Dato : 01-08-01 21:11


"Jesper Dybdal" <jdunet@u6.dybdal.dk> skrev i en meddelelse
news:m1tfmtkhbai07sgmndrpr93n2vokhi3ho4@news.tele.dk...
>
> Hvis Code Red ikke inficerer en hel masse servere i dag, så kunne det jo
netop
> være fordi den megen fokus der har været på den, har fået folk til at
> installere MS's fix. Og i så fald er "selvsvinget" jo fornuftigt nok.
>
Ja, du har ret !....kunne være sjovt at se hvor mange downloads der har
været på Microsofts homepage (der hvor sikkerhedsfilerne lå til WIN2000 &
NT, osv)


mvh

brian



Alex Holst (01-08-2001)
Kommentar
Fra : Alex Holst


Dato : 01-08-01 14:20

F.Larsen <N0Spam@spamfilter.dk> wrote:
> Nogen der har et noget til den ?
> Der skulle jo være vild panik i dag ;=)

Det er korrekt. Jeg har ikke mere maelk i koeleskabet, saa nu skal jeg ud at
gaa. Vild panik.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Kent Friis (01-08-2001)
Kommentar
Fra : Kent Friis


Dato : 01-08-01 18:59

Den Wed, 1 Aug 2001 11:39:06 +0200 skrev F.Larsen:
>Nogen der har et noget til den ?
>Der skulle jo være vild panik i dag ;=)

Den er aflyst pga. regnvejr.

Mvh
Kent
--
Windows 2000 service pack 1 will fix 300 bugs - that leaves only 64700
to future service packs.

John Hinge (01-08-2001)
Kommentar
Fra : John Hinge


Dato : 01-08-01 21:38

"F.Larsen" wrote:
>
> Nogen der har et noget til den ?
> Der skulle jo være vild panik i dag ;=)
>

Taget fra min log :
(alt det lange fnidder er klippet væk, i kender det i forvejen)
> c1541910-a.provo1.ut.home.com spoon.adsl.dk - [01/Aug/2001:17:34:38 +0200] "GET /default.ida?NNN
> Error reading "D:\inetpub\web\spoon.adsl.dk\default.ida" - Den angivne fil blev ikke fundet.

> cm121.46.234.24.lvcm.com spoon.adsl.dk - [01/Aug/2001:17:16:19 +0200] "GET /default.ida?NNN
> Error reading "D:\inetpub\web\spoon.adsl.dk\default.ida" - Den angivne fil blev ikke fundet.

> client62-2-92-185.hispeed.ch spoon.adsl.dk - [01/Aug/2001:14:47:59 +0200] "GET /default.ida?NNN
> Error reading "D:\inetpub\web\spoon.adsl.dk\default.ida" - Den angivne fil blev ikke fundet.

Det er dagens magre høst.
Jeg kører en OmniHTTPd 2.08 som altså ikke føler sig sårbar over
for den slags kineserier

--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

Allan Olesen (01-08-2001)
Kommentar
Fra : Allan Olesen


Dato : 01-08-01 22:39

John Hinge <shayera_gimmenospam_@cutey.com> wrote:

>Det er dagens magre høst.

Jeg kører ingen webserver, som er tilgængelig udefra, men jeg har da
alligevel haft opkoblingsforsøg til port 80 fra 6 forskellige maskiner
gennem de seneste 7 timer. Normalt er der et par forsøg på en uge, så
mon ikke aftenens høst kan tilskrives Code Red.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

John Hinge (02-08-2001)
Kommentar
Fra : John Hinge


Dato : 02-08-01 17:05

Allan Olesen wrote:
>
> John Hinge <shayera_gimmenospam_@cutey.com> wrote:
>
> >Det er dagens magre høst.
>
> Jeg kører ingen webserver, som er tilgængelig udefra, men jeg har da
> alligevel haft opkoblingsforsøg til port 80 fra 6 forskellige maskiner
> gennem de seneste 7 timer. Normalt er der et par forsøg på en uge, så
> mon ikke aftenens høst kan tilskrives Code Red.
>
Sandsynligvis.
Idag har jeg fra jeg tændte computeren kl. 16:55 haft 3 besøg
af code red ormen indtil kl. 18, det da meget godt gået :)


--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

Brian Kristiansen (02-08-2001)
Kommentar
Fra : Brian Kristiansen


Dato : 02-08-01 20:15


"John Hinge" <shayera_gimmenospam_@cutey.com> skrev i en meddelelse
news:3B697A22.9AD4FDA@cutey.com...
> Sandsynligvis.
> Idag har jeg fra jeg tændte computeren kl. 16:55 haft 3 besøg
> af code red ormen indtil kl. 18, det da meget godt gået :)
>
Hvordan kan man se at man har haft besøg (hvis man ikke har en server !) ?

mvh

brian



John Hinge (02-08-2001)
Kommentar
Fra : John Hinge


Dato : 02-08-01 20:30

Brian Kristiansen wrote:
>
> Hvordan kan man se at man har haft besøg (hvis man ikke har en server !) ?
>
Tjaaa, hvis du kører en firewall så vil du kunne se at der sker noget
på port 80 (den port webservere bruger) men så vil du nok ikke ku
være 100% på at det er en code red orm, det ku jo også bare være
nogen som tror du har en webserver :)

--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

Kent Friis (02-08-2001)
Kommentar
Fra : Kent Friis


Dato : 02-08-01 20:30

Den Thu, 2 Aug 2001 21:15:22 +0200 skrev Brian Kristiansen:
>
>"John Hinge" <shayera_gimmenospam_@cutey.com> skrev i en meddelelse
>news:3B697A22.9AD4FDA@cutey.com...
>> Sandsynligvis.
>> Idag har jeg fra jeg tændte computeren kl. 16:55 haft 3 besøg
>> af code red ormen indtil kl. 18, det da meget godt gået :)
>>
>Hvordan kan man se at man har haft besøg (hvis man ikke har en server !) ?

Så er det ikke interessant.

Mvh
Kent
--
Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.

Allan Olesen (02-08-2001)
Kommentar
Fra : Allan Olesen


Dato : 02-08-01 21:16

kfr@fleggaard.dk (Kent Friis) wrote:

>Så er det ikke interessant.

Så kan det heller ikke være interessant for folk, som kører
ikke-sårbare webservere.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kent Friis (02-08-2001)
Kommentar
Fra : Kent Friis


Dato : 02-08-01 21:18

Den Thu, 02 Aug 2001 22:16:13 +0200 skrev Allan Olesen:
>kfr@fleggaard.dk (Kent Friis) wrote:
>
>>Så er det ikke interessant.
>
>Så kan det heller ikke være interessant for folk, som kører
>ikke-sårbare webservere.

I princippet ikke - der er dog lige den der med at kunne se hvornår det
er man skal drille folk der stadig ikke har fattet at IIS er noget
skrammel.

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

Allan Olesen (02-08-2001)
Kommentar
Fra : Allan Olesen


Dato : 02-08-01 21:30

kfr@fleggaard.dk (Kent Friis) wrote:

>I princippet ikke - der er dog lige den der med at kunne se hvornår det
>er man skal drille folk der stadig ikke har fattet at IIS er noget
>skrammel.

Det kan jeg skam fint finde ud af uden at køre en webserver, som er
tilgængelig udefra.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

John Hinge (02-08-2001)
Kommentar
Fra : John Hinge


Dato : 02-08-01 20:33

John Hinge wrote:
>
> Idag har jeg fra jeg tændte computeren kl. 16:55 haft 3 besøg
> af code red ormen indtil kl. 18, det da meget godt gået :)
>
Nu er vi så oppe på 8.
Stadig ikke specielt alarmerende.
Tilgengæld fik jeg et brev fra Cybercity som fortalte at de havde
taget nogle initiativer for at beskytte de stakkels små pus som
måtte sidde med en webserver inde bag en Cisco 677.
Hvad de initiativer er, kommer de ikke ind på, blot gør de
opmærksomme på at de kan lave rod i det for enkelte kunder
og at berørte kunder kan ringe og klynke til dem.

tjaaa jeg sidder bag et Nortel 1Meg modem, og hvis de laver
ulykker for mig, vil jeg nok fnyse ret kraftigt :)


--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

Allan Olesen (02-08-2001)
Kommentar
Fra : Allan Olesen


Dato : 02-08-01 21:02

John Hinge <shayera_gimmenospam_@cutey.com> wrote:

>Idag har jeg fra jeg tændte computeren kl. 16:55 haft 3 besøg
>af code red ormen indtil kl. 18, det da meget godt gået :)

Jeg er oppe på 38[1] forskellige adresser siden i går ved den tid,
hvor det startede. Når jeg skimmer tidspunkterne, ser det faktisk ud
til, at der begge dage har været mest aktivitet sent om eftermiddagen
og tidligt om aftenen. Så det passer jo fint med din observation.

[1]: Ja, Poul Erik, hvis du ellers læser med her. Jeg _har_ regnet din
portscanning fra.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

F.Larsen (02-08-2001)
Kommentar
Fra : F.Larsen


Dato : 02-08-01 23:17

"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3b69b1cc$0$372$edfadb0f@dspool01.news.tele.dk...
> Jeg er oppe på 38[1] forskellige adresser siden i går ved den tid,
> hvor det startede. Når jeg skimmer tidspunkterne, ser det faktisk ud
> til, at der begge dage har været mest aktivitet sent om eftermiddagen
> og tidligt om aftenen. Så det passer jo fint med din observation.

I øjeblikket har jeg et besøg i timen ... betydelig værre end sidste måned hvor
det var 5-6 om

--
Flemming
Stop vandviddet http://www.StopCopyDan.dk/
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/



Allan Olesen (04-08-2001)
Kommentar
Fra : Allan Olesen


Dato : 04-08-01 18:06

"F.Larsen" <N0Spam@spamfilter.dk> wrote:

>I øjeblikket har jeg et besøg i timen ... betydelig værre end sidste måned hvor
>det var 5-6 om

Nu har jeg haft besøg fra 9 forskellige den seneste time. Det tager da
vist til?

Men det undrer mig alvorligt, at det kan blive ved med at vokse.
Situationen burde vel stabilisere sig, når alle ip-adresser havde
været besøgt een gang, og alle sårbare maskiner dermed var inficeret.

Men det mål må jo være nået for flere dage siden, hvis man skal dømme
efter det antal besøg _vi_ har haft.

(Jeg antager her, at størstedelen af de sårbare maskiner er fast
opkoblet.)


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kim S. Poulsen (04-08-2001)
Kommentar
Fra : Kim S. Poulsen


Dato : 04-08-01 18:30

On Sat, 04 Aug 2001 19:05:41 +0200, Allan Olesen
<aolesen@post3.tele.dk> wrote:

>"F.Larsen" <N0Spam@spamfilter.dk> wrote:
>
>>I øjeblikket har jeg et besøg i timen ... betydelig værre end sidste måned hvor
>>det var 5-6 om
>
>Nu har jeg haft besøg fra 9 forskellige den seneste time. Det tager da
>vist til?
Jeg har haft 49 (dyndns.dk) indtil nu fra midnat, sådan har det været
det sidste 2-3 dage. Det fleste er fra østen Kina og Hong Kong idag og
igår, hvor de før var fra USA og Europa.
MVH. Kim S. Poulsen (OZ4ZP)

Allan Olesen (04-08-2001)
Kommentar
Fra : Allan Olesen


Dato : 04-08-01 22:04

Kim S. Poulsen <kimsp@post4.tele.dk> wrote:

>(dyndns.dk)

Ligegyldigt. Code Red går efter rene ip-adresser.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste