CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Code Red: Teknisk beskrivelse

IIS.CodeRed.worm angriber webservere som ikke er patchet mod .ida sårbarheden i Microsoft IIS 4.0 og 5.0.

21. juli 2001 kl. 14.32
Karim Pedersen Karim Pedersen

Code Red er ikke "rocket science". Den ukendte programmør har ikke fundet et nyt sikkerhedshul, som endnu ikke kendes - i så fald havde Code Red sandsynligvis inficeret alle 6 millioner webservere med Microsoft Internet Information Server (IIS), og ikke "kun" 300.000 - men programmøren har læst på lektien og benyttet viden, der allerede blev publiceret i sidste måned.


Den såkaldte .ida sårbarhed i IIS 4.0 og IIS 5.0 blev offentliggjort i midten af juni, og Microsoft kunne traditionen tro samtidig præsentere en patch, der lukkede hullet. Tilsyneladende har omkring 5 pct. af system-administratorerne med IIS "glemt" at installere denne vigtige patch fra Microsoft.


Sikkerhedsekspert Peter Kruse fortæller at sårbarheden kan udnyttes ved at sende en simpel GET /NULL.ida?[buffer]=XHTTP/1.1 (hvor "buffer" erstattes med ca. 240 bytes - f.eks. 240 A'er) forespørgsel.


Code Red erstatter index.htm under IIS med en ny hjemmeside, som indeholder teksten:


HELLO!


Welcome to http://www.worm.com !


Hacked By Chinese


Samtidig begynder ormen at søge efter andre sårbare IIS-servere. Den indeholder en "tilfældigheds-generator", som skal generere tilfældige IP-adresser og dermed sikre en effektiv spredning over nettet, men programmet indeholder en fejl, som betyder at de samme adresser angribes i den samme rækkefølge hver gang ormen har overtaget en ny server.


Hvis man sidder med en af de servere, der scannes først når ormen har kopieret sig selv over på en ny maskine, kan man dermed opbygge en liste over alle inficerede computere. Det har gjort det muligt at udarbejde en meget præcis statistik over, hvor mange servere der er inficeret med Code Red - men hackerne kunne også misbruge informationerne til at starte målrettede angreb mod sårbare maskiner.


Peter Kruse fortæller at følgende mønster skal oprettes i IDS (Intrusion Detection Systemet) for at registrere og afværge angreb fra ormen:


/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%
u53ff%u0078%u0000%u00=a HTTP/1.0

Læs også:

  • Code Red: Baggrund


  • Code Red: Den næste generation


  • Code Red: Sikkerhedshullet


  • Code Red: Sådan fjernes

    • ormen

  • Code Red: De bedste links




      • Navnenyt fra it-danmarkVis alle »
      Anders Friis Frand-Madsen
      Anders Friis Frand-Madsen
      Brian Korntved
      Brian Korntved
      Frederik Bendz
      Frederik Bendz
      Malte Helin Johnsen
      Malte Helin Johnsen

      Vickie M. Enevold Nielsen
      Vickie M. Enevold Nielsen
      Levente Székely
      Levente Székely
      Pia Jensen
      Pia Jensen
      Mona Pertho
      Mona Pertho


       
      Brancheguiden
      Brancheguide logo
      Opdateres dagligt:
      Den største og
      mest komplette
      oversigt
      over danske
      it-virksomheder
      Hvad kan de? Hvor store er de? Hvor bor de?
      Hewlett-Packard ApS
      Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

      Nøgletal og mere info om virksomheden
      Skal din virksomhed med i Guiden? Klik her
      Kommende events
      Computerworld Cyber Briefing

      Computerworld giver dig hver måned 30 minutter med de nyeste cybertrusler, konkrete angreb og brugbare råd. Få indsigt i AI og sikkerhed, compliance, risikovurdering og forsvarsstrategier. Tilmeld dig næste Cyber Briefing nu.

      14. august 2025 | Læs mere

      Cyber Security Summit 2025: Her er truslerne – og sådan beskytter du dine kritiske data

      Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

      19. august 2025 | Læs mere

      Cyber Security Summit 2025 i Jylland

      Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

      21. august 2025 | Læs mere

      Se flere events »

      White papers
      Flere white papers »


      Computerworld ... grobund for markante meninger om it
      Har du en holdning? Del din viden på Computerworld »
      Mogens Nørgaard
      Mogens Nørgaard
      Martin Kraemer
      Martin Kraemer
      Torben Clemmensen
      Torben Clemmensen
      David Guldager
      David Guldager
      Mogens Nørgaard
      Mogens Nørgaard
      Jim Nielsen
      Jim Nielsen
      Carl Hansson
      Carl Hansson
      Thomas Djursø
      Thomas Djursø
      opinion
      Mogens Nørgaard
      Mogens Nørgaard
      Nørgaard: Microsoft har store problemer med AI - det kommer ikke til at gå godt
      Læs indlæg
      Artikel teaser billede

      Martin Kraemer

      Gå en sikker sommer i møde med disse syv sommer cybersikkerhedsregler

      Artikel teaser billede

      Torben Clemmensen

      Det store dilemma lige nu: Stoler vi på amerikanerne, som vi altid har gjort, eller skal vi overveje at rykke?

      Artikel teaser billede

      David Guldager

      Guldager: Bliver fremtidens selvkørende biler sikre nok? Vi har et foreløbigt svar nu

      Artikel teaser billede

      Mogens Nørgaard

      Nørgaard: Vi bør alle kende og anerkende begrebet PUM - det fylder i vores hverdag

      Mest læste klummer og blogs
      Guldager: Bliver fremtidens selvkørende biler sikre nok? Vi har et foreløbigt svar nu
      Klumme: Hvornår kommer den vaskeægte selvkørende bil på vejene? Svaret kunne allerede været blevet givet, da Tesla endelig har fremvist sin længe ventede ’robottaxi’ på gaderne i Austin, Texas.
      Af: David Guldager
      Nørgaard: Microsoft har store problemer med AI - det kommer ikke til at gå godt
      Klumme: Copilot er da udmærket til nogle ting, men det er jo som at køre i hestevogn i stedet for Tesla. Og så er det ved at gå op for markedet, at OpenAI slet ikke ønsker at blive det næste Microsoft, men det næste Google.
      Af: Mogens Nørgaard
      Det store dilemma lige nu: Stoler vi på amerikanerne, som vi altid har gjort, eller skal vi overveje at rykke?
      Klumme: Danske offentlige organisationer tager endelig stilling til det monopollignende forhold, som de har med Microsoft. Spørgsmålet er, om det er realistisk.
      Af: Torben Clemmensen
      Mogens Nørgaard
      opinion
      Mogens Nørgaard
      Nørgaard: Vi bør alle kende og anerkende begrebet PUM - det fylder i vores hverdag
      opinion Jim Nielsen
      Hvor kan vi i Danmark få mulighed for diskutere AI på den helt store klinge?
      Læs indlæg

      Premium
      Teaser billede
      Vil fyre tusindvis af ansatte globalt: Nu reagerer Microsofts danske organisation med 800 medarbejdere
      Læs mere »
      Staten binder sig med ny aftale til Microsoft i usædvanlig lang tid - og det er der en særlig årsag til
      Pengene vælter ud af den danske Dynamics-kæmpe Cepheo i selskabets andet leveår - men forretningen buldrer frem
      Du skal opdatere hurtigst muligt: Alvorlig sårbarhed opdaget i Citrix-software
      Se alle »
      Computerworld
      Teaser billede
      Danmarks største fiberselskab skifter navn: Norlys skal ikke længere hedde Norlys
      Læs mere »
      Glemte at fjerne adgang for suspenderet it-medarbejder: Næste dag var kunder i Tyskland og Bahrain låst ude
      Amerikansk koncern med 700 ansatte i Danmark: Sender besked til kunder 21 måneder efter storstilet angreb
      Microsoft kæmper med at få Copilot ud over rampen – og det skyldes især én ting
      Se alle »
      CIO
      Teaser billede
      Microsoft kæmper med at få Copilot ud over rampen – og det skyldes især én ting
      Læs mere »
      Her står medarbejderne for at ansætte og fyre - og det har gjort rekruttering af it-professionelle langt lettere
      Rigspolitiet gør klar til stort opgør med it-evighedskontrakter: Søger hjælp fra leverandørerne
      Mange CISO'er mistrives i jobbet: Nu stiller tidligere cyber security-chef i Energinet og Ørsted et kontroversielt forslag
      Se alle »
      Job & Karriere
      Teaser billede
      Fungerede ikke: Dropper AI som erstatning for kundeservice-medarbejdere - har nu brug for nye folk
      Læs mere »
      It-chef og halv it-afdeling fyret i forsikringsselskab på grund af kommentar om potteplante
      Danske it-folk tør ikke længere skifte job hele tiden - og det er der en særlig årsag til
      Itm8 fyrer: Opsiger ansatte og reorganiserer
      Se alle »
      White paper
      Teaser billede
      Cybersikkerhed 2025: Er din branche blandt de mest udsatte?
      Læs mere »
      Sådan får du reel værdi ud af Microsoft Copilot
      Sådan samler du virtualisering og containerdrift i én løsning
      NIS2: Sådan styrker du både cybersikkerhed og compliance
      Se alle »

      Events
      Flere events »
      White papers
      Flere white papers »
      IT-Kurser
      Se alle vores it-kurser »