Ormen begynder sit DDoS
-
af
mikbund
, redigeret af Pernicious
mboost-dp1
unknown
Heh ... såkandelæredet ;)
Nej, seriøst .. så vidt jeg husker ligger Microsoft i Redmond, Washington .. Strømsvigtet ramte kun dele af vestkysten, korrekt ?
Nej, seriøst .. så vidt jeg husker ligger Microsoft i Redmond, Washington .. Strømsvigtet ramte kun dele af vestkysten, korrekt ?
Den orm må da være en af de største nogensinde...
Jeg har fjernet den for 3 venner, men har ikke selv fået den, vi er jo nogle der opdaterer vores OS!
Det kunne være I skulle prøve det? Og hvad med at få firewall og antivirus...
Arrgh!
Jeg har fjernet den for 3 venner, men har ikke selv fået den, vi er jo nogle der opdaterer vores OS!
Det kunne være I skulle prøve det? Og hvad med at få firewall og antivirus...
Arrgh!
Hehe, det er utvivlsomt at hele denne her affære vil bringe nye brugere herover i Linux-lejren... ;-)
Go Blaster! :D
- Simon
Go Blaster! :D
- Simon
Tjah... Windowsupdate går nu ikke ned pga. den originale MSBlast... Windows Update kører normalt fra siden http://windowsupdate.microsoft.com, mens ormen DDoS'er http://windowsupdate.com ... Og det er så ikke den eneste stupide del af den orm....
Microsoft har så gjort det smarte at undlade at have en A-record for windowsupdate.com - Hvilket resulterer i at ormen slet ikke vil starte sin DDoS-rutine...
Microsoft har så gjort det smarte at undlade at have en A-record for windowsupdate.com - Hvilket resulterer i at ormen slet ikke vil starte sin DDoS-rutine...
http://www.it-avisen.dk/nyheder.asp?id=5367&ap...
Nordea.fi kunne heller ikke helt tage det - skræmmende at tænke på at jeg som sys.admin på en videregående udd. med ressourcer der er mus i forhold til de her firmaers sagtens kan håndtere sådan en orm [nu skal jeg så krydse fingre I guess - er ved at opdatere klienternes virusprogram].
Nordea.fi kunne heller ikke helt tage det - skræmmende at tænke på at jeg som sys.admin på en videregående udd. med ressourcer der er mus i forhold til de her firmaers sagtens kan håndtere sådan en orm [nu skal jeg så krydse fingre I guess - er ved at opdatere klienternes virusprogram].
Btw. Hører man om ret store spekulationer om at MSBlast skulle være skyld i det store strømsvigt - De skulle eftersigende køre med Win2k/XP maskiner...
#7 - jeg hentede Gentoo så sent som i går :) Det er satme en bitch af en orm. Fik den på min test installation af Win XP inden jeg nåede at opdatere den.
... men nu går linux altså ikke helt fri af virus - jeg har oplevet at have virus på min Red Hat server (den var hullet som en si). Så lærte jeg om up2date og siden har jeg ikke haft problemer.
Ja, det er ulempen ved computere i det hele taget, hvis man ikke holder den opdateret, så bliver sådanne huller udnyttet.
... men nu går linux altså ikke helt fri af virus - jeg har oplevet at have virus på min Red Hat server (den var hullet som en si). Så lærte jeg om up2date og siden har jeg ikke haft problemer.
Ja, det er ulempen ved computere i det hele taget, hvis man ikke holder den opdateret, så bliver sådanne huller udnyttet.
Washington ligger i nordvest af USA :D
Problemet kan vel løses ved at udsende en patch der sørger for at man får fat i windows update via en anden adresse.
Medmindre deres program er skrevet til at åbne windows update.
Problemet kan vel løses ved at udsende en patch der sørger for at man får fat i windows update via en anden adresse.
Medmindre deres program er skrevet til at åbne windows update.
Jeg har ikke oplevet de helt store problemer hos MS, kun at starte siden til update tog 10sek isted for de normal 2-3, Jeg har reinstalleret 4 computer idag for noget venner og alle samme har brugt windows update uden problemer.
Guess i was lucky ;)
Guess i was lucky ;)
Jeg troede ellers ms var stoppet med at sende patches ud til nt 4 (klik) ;-)
[edit] #10: (klik her)
Lloyd Taylor, vice president of technology and operations at Keynote Systems, which evaluates network performance, said that Microsoft's service will likely fall victim to the attack.
"I don't think any network in the world would be accessible with the amount of traffic that is going to be thrown at it," Taylor said.
Desuden har news.com en hel sektion om denne virus. Go læsning (klik)
[edit] #10: (klik her)
Lloyd Taylor, vice president of technology and operations at Keynote Systems, which evaluates network performance, said that Microsoft's service will likely fall victim to the attack.
"I don't think any network in the world would be accessible with the amount of traffic that is going to be thrown at it," Taylor said.
Desuden har news.com en hel sektion om denne virus. Go læsning (klik)
#23
Ideen er netop at ormen ikke sender noget trafik... Går ud fra du ved lidt om DNS osv. Ormen prøver at resolve "windowsupdate.com"... Microsoft har sat deres DNS-server til ikke at give noget svar, alias ormen får ingen IP den kan sende til, hvilket meget smart medfører at ormen ingen trafik kan sende! "windowsupdate.microsoft.com" er et helt andet domæne, og det resolver fint til en ip (Faktisk flere, de bruger Akamai, ligesom kazaa er på vej til at blive hostet på)... Derfor er det eneste der er sket sådan set at man ikke længere kan gå til windowsupdate ved at skrive "windowsupdate.com" i sin adresselinje... På en lille sidenote kan det nævnes at "www.windowsupdate.com" stadig vil kunne bruges (Ser dog ud til at den er nede i øjeblikket, får en "Invalid URL" side smidt i hovedet... Det beviser dog fint at siden stadig virker, kan ikke se hvorfor MS har valgt at tage den ned).
Men ja, hvis det var sådan at ormen kunne få en ip ud fra "windowsupdate.com" ville den begynde på sit DDoS, og så ville MS's servere næppe kunne holde til trykket...
Nedsiden ved det er blot at ormen så vil fortsætte med at sprede sig, istedet for at DDoS'e Microsoft... "Hellere dem end os" må de nok tænke...
Ideen er netop at ormen ikke sender noget trafik... Går ud fra du ved lidt om DNS osv. Ormen prøver at resolve "windowsupdate.com"... Microsoft har sat deres DNS-server til ikke at give noget svar, alias ormen får ingen IP den kan sende til, hvilket meget smart medfører at ormen ingen trafik kan sende! "windowsupdate.microsoft.com" er et helt andet domæne, og det resolver fint til en ip (Faktisk flere, de bruger Akamai, ligesom kazaa er på vej til at blive hostet på)... Derfor er det eneste der er sket sådan set at man ikke længere kan gå til windowsupdate ved at skrive "windowsupdate.com" i sin adresselinje... På en lille sidenote kan det nævnes at "www.windowsupdate.com" stadig vil kunne bruges (Ser dog ud til at den er nede i øjeblikket, får en "Invalid URL" side smidt i hovedet... Det beviser dog fint at siden stadig virker, kan ikke se hvorfor MS har valgt at tage den ned).
Men ja, hvis det var sådan at ormen kunne få en ip ud fra "windowsupdate.com" ville den begynde på sit DDoS, og så ville MS's servere næppe kunne holde til trykket...
Nedsiden ved det er blot at ormen så vil fortsætte med at sprede sig, istedet for at DDoS'e Microsoft... "Hellere dem end os" må de nok tænke...
Hmm.. et andet problem er at ormen først vil stoppe med at DOS'e windowsupdate.com enten når den er udryddet eller efter den 31. december......
Så for mig at se vil windowsupdate.com være udbrugeligt i laaang tid fremover... med mindre de finder en smartere løsning..;)
Så for mig at se vil windowsupdate.com være udbrugeligt i laaang tid fremover... med mindre de finder en smartere løsning..;)
Til nyheden kan jeg lige sige at Microsoft.com har sagt at nedetiden på Windows Update hverken er Blaster ormen eller strømsvigt, men et andet DDoS angreb.
http://www.pcadvisor.co.uk/index.cfm?go=news.view&...
http://www.pcadvisor.co.uk/index.cfm?go=news.view&...
#26
NEEEEEEEEEEEJ!!! Der er ikke noget DDoS... Ormen vil fortsætte med at sprede sig, men fordi den ikke kan gå fra "windowsupdate.com"->en ip kan den ikke DoS'e (Læs evt #25)... Og faktisk vil den bare holde pause fra 1. januar til d. 16. januar...
Så de har fundet en smart løsning på DDoS'et, men bagsiden er at den vil fortsætte med at sprede sig!
Tænkte på om vi ik kunne få rettet nyheden... Alle siger lige i kor: There is no sp... DDoS!
NEEEEEEEEEEEJ!!! Der er ikke noget DDoS... Ormen vil fortsætte med at sprede sig, men fordi den ikke kan gå fra "windowsupdate.com"->en ip kan den ikke DoS'e (Læs evt #25)... Og faktisk vil den bare holde pause fra 1. januar til d. 16. januar...
Så de har fundet en smart løsning på DDoS'et, men bagsiden er at den vil fortsætte med at sprede sig!
Tænkte på om vi ik kunne få rettet nyheden... Alle siger lige i kor: There is no sp... DDoS!
Istedet for at rette nyheden, hvorfor så ikke samle lidt sammen til en stor belønning til den gut som først flår armene af gutten/gruppen, som laver den her slags.
Og til linux brugere som synes denne her tur er så morsom, bliv endelig ved. Det ville jo aldrig kunne ske på linux :)
(alle desktop linux brugere tilsammen, ville jo ikke kunne Ddos'e noget ;p)
Og til linux brugere som synes denne her tur er så morsom, bliv endelig ved. Det ville jo aldrig kunne ske på linux :)
(alle desktop linux brugere tilsammen, ville jo ikke kunne Ddos'e noget ;p)
#29 elvin:
Det kunne være MEGET værre... Værktøjerne til at inficere en computer i første forsøg, og uden at den nogensinde crasher pga. det findes allerede public... Ormen bruger det allerførste exploit til bug'en (Stort set uændret), og ville kunne gøres både bedre (Ingen crash, ingen filoverførsel) og hurtigere (Scan-teknik). Desuden kunne payloaden være langt værre - f.x. sende alle dine dokumenter til fremmede / folk i din adressebog, tilmelde dig alle kendte spam-lister, automatisk finde kontonumre + koder, whatever - Måske endda en orm der patcher systemer?
Forestil dig nu den orm: Ingen tegn på infektion, og uanede onde muligheder...
MSBlast er langt fra den værste orm der kunne komme først... Så selvom ham der har lavet den er en slemmer fyr, så hjælper han alligevel med at sætte fokus på et meget følsomt område (Intet så dårligt at det ikke er godt for noget)...
Det kunne være MEGET værre... Værktøjerne til at inficere en computer i første forsøg, og uden at den nogensinde crasher pga. det findes allerede public... Ormen bruger det allerførste exploit til bug'en (Stort set uændret), og ville kunne gøres både bedre (Ingen crash, ingen filoverførsel) og hurtigere (Scan-teknik). Desuden kunne payloaden være langt værre - f.x. sende alle dine dokumenter til fremmede / folk i din adressebog, tilmelde dig alle kendte spam-lister, automatisk finde kontonumre + koder, whatever - Måske endda en orm der patcher systemer?
Forestil dig nu den orm: Ingen tegn på infektion, og uanede onde muligheder...
MSBlast er langt fra den værste orm der kunne komme først... Så selvom ham der har lavet den er en slemmer fyr, så hjælper han alligevel med at sætte fokus på et meget følsomt område (Intet så dårligt at det ikke er godt for noget)...
Det er jeg klar over. + Der skulle allerede være en ny på vej.
Det underligt ved situationen er, at umiddelbart synes folk ikke at se seriøst på det, fordi det er microsoft det går ud over.
Som du selv siger, det kan gå meget mere galt, næste gang ddos'er den ikke update, men hygger sig med dit filsystem.
Det er ikke patcher/update/OS vi skal bekymre os om, det er dem som laver vira.
intet er 100% Nej heller ikke linux ;>
Det underligt ved situationen er, at umiddelbart synes folk ikke at se seriøst på det, fordi det er microsoft det går ud over.
Som du selv siger, det kan gå meget mere galt, næste gang ddos'er den ikke update, men hygger sig med dit filsystem.
Det er ikke patcher/update/OS vi skal bekymre os om, det er dem som laver vira.
intet er 100% Nej heller ikke linux ;>
#32 elvin:
Ja, han er med til at skade... Mener bare at skaden kunne være langt større...
Og mht. til at sende koden til "folk der kan fixe det", var der intet nyt i denne orm... Det er stort set bare det allerførste exploit + en tftp server + den sender kommandoer til det shell der spawner...
Var det moralsk forkert at løslade denne orm: Ja
Var der folk der mistede penge / informationer på grund af at crackere udnyttede denne bug: Ja
Var der mere Microsoft kunne gøre: Nej, de lavede deres patch og frigav den
Folk + admins havde over en måned til at patche i... Skete det? Nej
Skete det efter ormen kom? Ja
Var alt denne patchen med til at crackere ikke længere kunne udnytte buggen uden at blive opdaget? JA!
Lige for en god ordens skyld: Intet er så dårligt at det ikke er godt for noget...
Ja, han er med til at skade... Mener bare at skaden kunne være langt større...
Og mht. til at sende koden til "folk der kan fixe det", var der intet nyt i denne orm... Det er stort set bare det allerførste exploit + en tftp server + den sender kommandoer til det shell der spawner...
Var det moralsk forkert at løslade denne orm: Ja
Var der folk der mistede penge / informationer på grund af at crackere udnyttede denne bug: Ja
Var der mere Microsoft kunne gøre: Nej, de lavede deres patch og frigav den
Folk + admins havde over en måned til at patche i... Skete det? Nej
Skete det efter ormen kom? Ja
Var alt denne patchen med til at crackere ikke længere kunne udnytte buggen uden at blive opdaget? JA!
Lige for en god ordens skyld: Intet er så dårligt at det ikke er godt for noget...
#29 din kritik af linux desktops er jo fuldstændig ubegrundet, bare fordi der ikke er ret mange der bruger det betyder jo ikke at det ikke er godt og bare fordi der er mange der bruger windows betyder jo heller ikke at det er godt. det er jo heller ikek godt at have gæld, bare fordi der er mange der har det, eller at der er få rige betyder jo heller ikke at det er dårligt.
#28
Ja det er jeg udemærket klar over.. Det jeg egentligt ville sige var at den vil fortsætte med at forsøge at DoS'e.. det vil sige at domænet windowsupdate.com vil være mere eller mindre ubrugelig, for lige så snart de sætter det i brug igen, så er ormen klar til at angribe..etc..
Det var noget i den retning at jeg hentydede til.
Ja det er jeg udemærket klar over.. Det jeg egentligt ville sige var at den vil fortsætte med at forsøge at DoS'e.. det vil sige at domænet windowsupdate.com vil være mere eller mindre ubrugelig, for lige så snart de sætter det i brug igen, så er ormen klar til at angribe..etc..
Det var noget i den retning at jeg hentydede til.
Hvis Microsoft's servere gik ned pga. det strømsvigt, så er de da de største spassere på den her side af jorden. Ord som reserveregenerator og UPS, er åbenbart ikke nået til USA endnu.
Håber ikke det er den rigtige forklaring, for så er der da noget galt.
Håber ikke det er den rigtige forklaring, for så er der da noget galt.
#35 elvin
[1) Det var et forsøg på en god joke :)]
Det mislykkede kraftigt.. :P
Det lignede mere flamebait.. ;)
[2) Ville gøre de folk som "gemmer" sig bag en linux opmærksom på at det også kunne skade dem :)]
Nu er problemmet her jo ikke så meget Microsoft, som det er de clueless kraftidioter der ikke fatter en bønne IT sikkerhed.
Opdater, Opdater, Opdater!!!.. :)
Meget kan man kritisere Microsoft for, men ikke at folk ikke kan stave sig igennem W-I-N-D-O-W-S-U-P-D-A-T-E.... Daaaah!
Ynkeligt at se at der også er firmaer blandt de ramte, måske de skulle finde sig nogle kompetente administratore?....
[1) Det var et forsøg på en god joke :)]
Det mislykkede kraftigt.. :P
Det lignede mere flamebait.. ;)
[2) Ville gøre de folk som "gemmer" sig bag en linux opmærksom på at det også kunne skade dem :)]
Nu er problemmet her jo ikke så meget Microsoft, som det er de clueless kraftidioter der ikke fatter en bønne IT sikkerhed.
Opdater, Opdater, Opdater!!!.. :)
Meget kan man kritisere Microsoft for, men ikke at folk ikke kan stave sig igennem W-I-N-D-O-W-S-U-P-D-A-T-E.... Daaaah!
Ynkeligt at se at der også er firmaer blandt de ramte, måske de skulle finde sig nogle kompetente administratore?....
Er det ikke lidt flovt at nordea i finland fik den...
Og mange andre "store" firmaer også var ramt.
man skulle tro de havde styr på sikkerheden...men nej!
og et næste 2 mrd. gamle hul....puha!
Håber der er nogen sikkerhedsfolk der få
røde øre..og måske et hak i tuden over der mangler updates.
BTW:
Nu bruger Nordea i Danmark sjovt nok OS/2.
--
Linux vs. Windows ?
Der findes også *BSD og Solaris.
Så bred jeres syn lidt ud ;-)
Og mange andre "store" firmaer også var ramt.
man skulle tro de havde styr på sikkerheden...men nej!
og et næste 2 mrd. gamle hul....puha!
Håber der er nogen sikkerhedsfolk der få
røde øre..og måske et hak i tuden over der mangler updates.
BTW:
Nu bruger Nordea i Danmark sjovt nok OS/2.
--
Linux vs. Windows ?
Der findes også *BSD og Solaris.
Så bred jeres syn lidt ud ;-)
http://uptime.netcraft.com/up/graph?site=www.windo... The site www.windowsupdate.com is running Microsoft-IIS/6.0 on Linux. .. linux.. :D
O_o
O_o
#36 folk vil nok opdatere deres windows når virusen begynder at lukke deres computer ned, så virusen vil jo nok uddø om et par måneder, derfor varer det jo nok ikke så længe før windowsupdate.com er på benene igen.
vil gerne høre om andre viruser af lignende art som har overlevet(altså viruser der generer brugeren og gør opmærksom på sin tilstedeværelse).
vil gerne høre om andre viruser af lignende art som har overlevet(altså viruser der generer brugeren og gør opmærksom på sin tilstedeværelse).
#43 / #45
Why do you report impossible operating system/server combinations ?
Webservers that operate behind a caching system, load balancer, reverse proxy server or a firewall may sometimes report the operating system of the intermediate machine. Hence reports of 'Microsoft/IIS on Linux' may indicate that either the web server is behind a Linux server that is acting as a reverse proxy, or has configured the Akamai caching system such that the first request to the site goes to one of Akamai's servers [which run Linux], or as in the case of www.walmart.com has been configured to send a misleading signature.
Microsoft er fornyligt gået over til at distribuere via Akamai så forklarer hvor der står iis6 on linux.
Why do you report impossible operating system/server combinations ?
Webservers that operate behind a caching system, load balancer, reverse proxy server or a firewall may sometimes report the operating system of the intermediate machine. Hence reports of 'Microsoft/IIS on Linux' may indicate that either the web server is behind a Linux server that is acting as a reverse proxy, or has configured the Akamai caching system such that the first request to the site goes to one of Akamai's servers [which run Linux], or as in the case of www.walmart.com has been configured to send a misleading signature.
Microsoft er fornyligt gået over til at distribuere via Akamai så forklarer hvor der står iis6 on linux.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund