Code red encore une fois....

Hvad tænker du på? Vil du have en liste med alle de inficeret systemer?

hvad skulle du bruge det til.. de sender det jo ikke med vilje hvis du hævne dig :o)

/MN

Nej, jeg har ikke tænkt mig at hævne mig... Så klog er jeg vist ikke til det...

Men jeg har hørt at man kunne det vha. af et script eller program!

Der var et spm. på wol.adsl.teknik som gik på det nemlig! Dog kun et perl script som ikke sagde mig så meget!

/Hiks

Det er noget som sker tilfældigt - og nej - der er helt sikkert IKKE lavet en log over dette!

Du regner vel ikke med at man bare kan få sådan en liste, vel?

Du bliver nød til at forklare det lidt bedere ... jeg ved ikke lige hvad det er du vil have.

Hvis du skulle noget, så var det at kigge din log fil igennem og de ip adresser der spørger efter default.ida kan du så kigge i en browser og sende en mail til admin på sitet. En advarsel om at hans Server er inficeret og ikke trusler osv. for som master_nemo siger det er jo ikke noget personen gør men virusen spreder sig selv!!!

kig i winnt/logfiles/og_her_det_mappe_navn_som_står_i_dine_web_settings/exXXXXXX.txt

>Du regner vel ikke med at man bare kan få sådan en liste, vel?

Jow... Jeg har set et eksempel på det... PÅ newsgrouppen! Jeg ved bare ikke helt hvordan og hvorledes det script skal håndteres...

Jeg skal lige finde det igen på newsgrouppen... Så poster jeg det her!

/Hiks

man kunne på CR1 godt lave en (tilnærmelsesvis) rigtig liste over inficerede servere.

men på CR2 er det ikke muligt da dens inficeringsalgoritme er tilfældig.

Okay, når je glæser bojohansen\'s indlæg - så kan jeg se hvad der menes.

Jeg troede at du ville have en liste på ALLE i hele verdene, som havde sendt Code Red rundt ... hehe

her var det så:
-----------------------------
#!/bin/sh


#Count the entries
grep -c \'NNNNNNNNNN\\|XXXXXXXXXX\' /var/log/apache/access_log >/www/htdocs/redwormcounter.txt

#extract the entries
awk \'/NNNNNNNNN/ { printf \"%20s %60s %s\\n\",\"Red Worm : \",$1,$4 } /XXXXXXXXXX/ { printf \"%20s %60s %s\\n\",\"Redworm v2 : \",$1,$4 }  \' /var/log/apache/access_log > /www/htdocs/redworms.txt
----------------------------------------

/Hiks

hvordan virker det... altså det ovenstående!!!

har nogle links her:

http://www.rud.dk/myredwormcounter.txt

og

http://www.kryptolus.com/red4.txt

/hiks

hvis i vil have et nærmere kig på den så smid lige jeres mail adr. - jeg har fået et deassemblet exemplar (med kommentarer) tilsendt.

jow tak...

rost@mailme.dk

/Hiks

Lukker spm\'et!

/Hiks