Ferenc, Olívia
-2 °C
4 °C

Vörös aratás

2001.07.30. 12:40
Kapcsolódó cikkek (1)
A Microsoft internetkiszolgáló szoftverének hibáját kihasználó Code Red nevű féregvírus szerda estig tizennégyezer szervert fertőzött meg. Csütörtök éjfélkor viszont több mint háromszázötvenezer webszerver küldött négyszáz megabájtnyi hulladékadatot a Fehér Ház szerverére.
Az egész internetet leszoríthatta volna az a Kínából származó féregvírus, amelyet egy koffeindús üdítőital tiszteletére "Code Red"-nek kereszteltek forrásának visszafejtői.

Nyugi outlookosok!

A Code Red nem e-mailben terjed.

A Netcraft felmérése szerint világszerte legalább hatmillió honlap működik olyan szerveren, amely a Microsoft webkiszolgáló platformján, az IIS-en fut. A szoftvergyártó óriásvállalat 2001. első hét hónapjában negyven ismertté vált programhibát jelentett az IIS-ben. A féregvírus terjedésének alapot adó hibát idén június 18-án jelentette a Microsoft, és alig egy hónap telt el, amíg az első fertőzéseket észlelték.

Az önterjesztő vírus először a kanadai Left Coast Systems internetszolgáltató egyik szerverén vette át a hatalmat. Működése során száz alprogramot indított, amelyek véletlenszerű IP-címeken további kiszolgáltatott IIS-szervereket keresett, amelyeket megfertőzött. A webszerveren elhelyezett oldalakat a "Hacked by Chinese!" ("Kinaiak hackelték!") üzenettel írta felül. A Left Coast Systems szerverét ápoló biztonsági cég, az eEye munkatársai mindennek emlékére a Mountein Dew egyik speciális (emelt koffeintartalmú) üdítőmárkája, a Code Red (vörös kód, kínaiak, kommunisták, kínai kommunisták) után nevezték el a férget.

DoS ellen torreádor-csel

Szerda éjjelre, amikor az eEye a féreg forráskódjának visszafejtésével elkészült tízezer szerver fertőződött meg. A szakemberek kiderítették, hogy a féregvírus - konkrétan - készül valamire. Kódja szerin, a Code Red terjedése másnap éjfélkor automatikusan leállt, és a fertőzött gépek egy túlterheléses DoS-támadást indítottak egy adott IP-cím ellen, amelyen meglepő módon a Fehér Ház honlapjának webszervere volt található. Egy fertőzött szerver 400 megabájtnyi hulladékadattal bombázta a szervert, minden négy és fél órában.

Csütörtök reggel megjelent a Code Red variánsa, amelyen kijavították a random IP-generátort, és a fertőzés járvánnyá dagadt. Éjfélig háromszázötvenkilencezer szerver fertőződött meg (köztük a Microsoft szerverei) és indított DoS-támadást a Fehér Ház honlapja ellen. Az elnöki honlap szakemberei a brutális erejű adatszökőár ellen egy egyszerű módon védekeztek: a szervert a támadás célkeresztjébe állított IP-cím (198.137.240.91) helyett egy teljesen más IP-címre tették (198.137.240.92).

A féregvírus terjedése ellen az IIS programhibájának javításával (patch) lehet védekezni. A szakemberek szerint a webszerverek 30-50 százaléka nincs megfelelően karban tartva - ahogy ezt a féreg terjedése is mutatja.

A Code Red küldetése szerint egynapi támadás után leállítja és jegeli magát, majd július 31-én újból fertőzni kezd.