Søg

Code Red: Teknisk beskrivelse

IIS.CodeRed.worm angriber webservere som ikke er patchet mod .ida sårbarheden i Microsoft IIS 4.0 og 5.0.

21. juli 2001 kl. 14.32
Karim Pedersen Karim Pedersen

Code Red er ikke "rocket science". Den ukendte programmør har ikke fundet et nyt sikkerhedshul, som endnu ikke kendes - i så fald havde Code Red sandsynligvis inficeret alle 6 millioner webservere med Microsoft Internet Information Server (IIS), og ikke "kun" 300.000 - men programmøren har læst på lektien og benyttet viden, der allerede blev publiceret i sidste måned.


Den såkaldte .ida sårbarhed i IIS 4.0 og IIS 5.0 blev offentliggjort i midten af juni, og Microsoft kunne traditionen tro samtidig præsentere en patch, der lukkede hullet. Tilsyneladende har omkring 5 pct. af system-administratorerne med IIS "glemt" at installere denne vigtige patch fra Microsoft.


Sikkerhedsekspert Peter Kruse fortæller at sårbarheden kan udnyttes ved at sende en simpel GET /NULL.ida?[buffer]=XHTTP/1.1 (hvor "buffer" erstattes med ca. 240 bytes - f.eks. 240 A'er) forespørgsel.


Code Red erstatter index.htm under IIS med en ny hjemmeside, som indeholder teksten:


HELLO!


Welcome to http://www.worm.com !


Hacked By Chinese


Samtidig begynder ormen at søge efter andre sårbare IIS-servere. Den indeholder en "tilfældigheds-generator", som skal generere tilfældige IP-adresser og dermed sikre en effektiv spredning over nettet, men programmet indeholder en fejl, som betyder at de samme adresser angribes i den samme rækkefølge hver gang ormen har overtaget en ny server.


Hvis man sidder med en af de servere, der scannes først når ormen har kopieret sig selv over på en ny maskine, kan man dermed opbygge en liste over alle inficerede computere. Det har gjort det muligt at udarbejde en meget præcis statistik over, hvor mange servere der er inficeret med Code Red - men hackerne kunne også misbruge informationerne til at starte målrettede angreb mod sårbare maskiner.


Peter Kruse fortæller at følgende mønster skal oprettes i IDS (Intrusion Detection Systemet) for at registrere og afværge angreb fra ormen:


/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%
u53ff%u0078%u0000%u00=a HTTP/1.0

Læs også:

  • Code Red: Baggrund


  • Code Red: Den næste generation


  • Code Red: Sikkerhedshullet


  • Code Red: Sådan fjernes

    • ormen

  • Code Red: De bedste links

      • Seneste nyt

      |Vis seneste uge

      Annonce

      Læses lige nu

        KMD A/S

        Compliance Officer

        Københavnsområdet

        Capgemini Danmark A/S

        SAP S/4HANA Finance Lead

        Københavnsområdet

        Netcompany A/S

        Data Management Consultant

        Midtjylland

        Netcompany A/S

        Linux Operations Engineer

        Midtjylland

        Se flere it-stillinger
        Computerworld Cloud & AI Festival 2026

        Event: Computerworld Cloud & AI Festival 2026

        Digital transformation | Ballerup

        Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 60+ leverandører og 100+ talere om AI, infrastruktur, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

        16 & 17 september 2026 | Gratis deltagelse

        Computerworld

        Opinion

        Navnenyt fra it-Danmark

        Renewtech ApS har pr. 1. marts 2026 ansat Emil Holme Fisker som Customer Service Specialist. Han skal især beskæftige sig med at levere høj kvalitets kundeservice og hjælpe Renewtechs kunder med at få de rette løsninger til deres behov. Han kommer fra en stilling som Key Account Manager hos Camro A/S. Han er uddannet som salgselev hos Camro A/S. Han har tidligere beskæftiget sig med at udvikle gode kunderelationer, opsøgende salg og udvikling af salgsaktiviteter. Nyt job

        Emil Holme Fisker

        Renewtech ApS

        Henrik Vittrup Zoega, projektkoordinator hos Departementet for Fiskeri, Fangst, Landbrug og Selvforsyning, Grønland, har pr. 22. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Syddansk Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

        Henrik Vittrup Zoega

        Departementet for Fiskeri, Fangst, Landbrug og Selvforsyning, Grønland

        Renewtech ApS har pr. 1. februar 2026 ansat Mads Linné Kaasgaard, 31 år, som Marketing Specialist. Han skal især beskæftige sig med med at løfte Renewtechs brand og kommunikation yderligere ud globalt. Han kommer fra en stilling som Marketing Manager hos Induflex A/S. Han er uddannet fra Aalborg Universitet og har en Cand. Merc. i Sprog & International Virksomhedskommunikation. Nyt job

        Mads Linné Kaasgaard

        Renewtech ApS

        Netip A/S har pr. 1. februar 2026 ansat Henrik Mejnhardt Nielsen som ny kollega til Product Sales Teamet i Herlev. Han kommer fra en stilling som Business Development Manager hos Arrow. Nyt job

        Henrik Mejnhardt Nielsen

        Netip A/S

        Se mere fra navnenyt

        Mest læste

        1 Nørgaard: Læs skideballen fra en ukrainer til Rheinmetal - og derfor trender #MadeByHousewives
        2 Martin er brændt ud efter mange år i den danske it-branche: Nu sælger han huset og kører ud i det blå med hunden Murphy
        3 Læs hele Computerworlds løn-magasin: Så meget får danske it-folk i løn
        4 Hård kritik efter tirsdagens stor-nedbrud: MitID er som en stor hullet ost og kan udvikle sig til en national katastrofe
        5 De har den laveste løn i den danske it-branche: Mange tjener under 37.000 kroner om måneden
        6 Fire danske udviklere fik ét år til at skabe succes-app: Nu er den downloadet af 675.000 danskere
        7 Verdens mindste QR-kode er mindre end en bakterie: Det skal den bruges til
        8 Denne populære browser tilbyder nu gratis, indbygget VPN - kommer med datagrænse på 50 GB per måned

        Se seneste uge