IIS bucato da un worm

Allarme per un nuovo worm che, sfruttando una falla di IIS, è già riuscito a propagarsi con grande rapidità in migliaia di Web server

Aliso Viejo (USA) - Sarebbero già oltre 20.000 i computer infettati da un nuovo worm virus, il Code Red Worm, che sfrutta una nota falla di Internet Information Server (IIS) per compromettere il sistema e rimpiazzare l'home page del sito.

Dopo essere penentrato in un computer, Code Red prende il controllo del Web server di Microsoft e, tramite l'interfaccia ISAPI, redirige i visitatori del sito verso una pagina creata dal worm in cui si legge "Welcome to http://www.worm.com ! Hacked By Chinese!". A questo punto il worm tenta di propagarsi sul altri server.

Questo nuovo vermicello potrebbe conoscere una diffusione ancora più grande per via del fatto che il Web server IIS è molto diffuso e la vulnerabilità che è in grado di sfruttare per penetrare nel sistema è relativamente recente: si tratta di un buco nell'index server di cui è possibile scaricare la patch da qui.
Fortunatamente il vermicello, oltre che infettare solo le versioni in lingua inglese di Windows, non sembra fare altri danni o aprire backdoor e, per fermarlo, è sufficiente fare il reboot della macchina: Code Red, infatti, risiede totalmente in memoria e non ha modo di tornarci una volta riavviato il sistema operativo.

Il worm però, a seguito della rapida scansione di indirizzi IP che effettua una volta infettata una macchina, potrebbe creare diversi problemi di traffico e dar luogo a dei DoS.
TAG: sicurezza
59 Commenti alla Notizia IIS bucato da un worm
Ordina
  • Non chiedetemi il perchè... ma il nostro server è controllato da Win2000 server in versione inglese e proprio ieri sera siamo stati attaccati e accedendo alla web mail appariva la "fatidica pagina". Stamattina è tornato a posto da solo (anche norton avvisa che il worm si disattiva dopo 10 ore) ma purtroppo non c'è andata molto bene e pur avendo installato la patch di microsoft, sembra esservi attivato qualcos'altro. E' da questa mattina che Exchange e il server di posta hanno incominciato a inviare una quantita' enorme di mail rendendo quasi inutilizzabile sia il server che il servizio di posta. L'unico rimedio che abbiamo trovato è stato quello di disabilitare il servizio SMTP del server, ma ovviamente adesso siamo senza posta in uscita.
    Magari qualcuno ha qualche consiglio da proporre? Altrimenti ci tocca aspettare fino a lunedì!!!
    non+autenticato
  • Spegnilo.
    non+autenticato
  • Scritto da: Dixie

    > Linux e FreeBSD hanno i loro buchi qui e
    > li', ovvio. Ma a quanto pare ne hanno meno,
    > forse perche il codice e' sotto gli occhi di
    > tutti. Del kraker che puo' cercare le falle
    > ma anche di una notevole quantita' di
    > programatori/tester che hanno le stesse
    > possibilita del kraker di trovare,
    > denunciare e correggere il problema.

    I kraker si impegnano per trovare le falle di M$ e quindi fanno i beta tester gratis per M$ che poi rilascia le patch
    I programmatori/tester con il codice sottocchio trovano le falle dell'open source e aiutano a correggere i problemi gratis
    Tutta questa gente che lavora gratis non potrebbe dedicare un poco di tempo gratis ad aiutare il prossimo???
    Ciao
    non+autenticato
  • - Scritto da: Ginko
    > Scritto da: Dixie

    > > Linux e FreeBSD hanno i loro buchi qui e
    > > li', ovvio. Ma a quanto pare ne hanno meno,
    > > forse perche il codice e' sotto gli occhi
    > >di tutti. Del kraker che puo' cercare le falle
    > > ma anche di una notevole quantita' di
    > > programatori/tester che hanno le stesse
    > > possibilita del kraker di trovare,
    > > denunciare e correggere il problema.

    > I kraker si impegnano per trovare le falle
    > di M$ e quindi fanno i beta tester gratis
    > per M$ che poi rilascia le patch
    > I programmatori/tester con il codice
    > sottocchio trovano le falle dell'open source
    > e aiutano a correggere i problemi gratis
    > Tutta questa gente che lavora gratis non
    > potrebbe dedicare un poco di tempo gratis ad
    > aiutare il prossimo???
    > Ciao

    Chiedilo a quelli M$, quelli linux fanno gia' qualcosa per il prossimo: ridistribuiscono il codice debuggato, aiutando cosi' quelli che hanno problemi a causa dei Bug.
    non+autenticato
  • - Scritto da: Ginko
    > Scritto da: Dixie

    > > Linux e FreeBSD hanno i loro buchi qui e
    > > li', ovvio. Ma a quanto pare ne hanno meno,
    > > forse perche il codice e' sotto gli occhi
    > >di tutti. Del kraker che puo' cercare le falle
    > > ma anche di una notevole quantita' di
    > > programatori/tester che hanno le stesse
    > > possibilita del kraker di trovare,
    > > denunciare e correggere il problema.

    > I kraker si impegnano per trovare le falle
    > di M$ e quindi fanno i beta tester gratis
    > per M$ che poi rilascia le patch
    > I programmatori/tester con il codice
    > sottocchio trovano le falle dell'open source
    > e aiutano a correggere i problemi gratis
    > Tutta questa gente che lavora gratis non
    > potrebbe dedicare un poco di tempo gratis ad
    > aiutare il prossimo???
    > Ciao

    Chiedilo a quelli M$, quelli linux fanno gia' qualcosa per il prossimo: ridistribuiscono il codice debuggato, aiutando cosi' quelli che hanno problemi a causa dei Bug.
    non+autenticato
  • Ciao a tutti,
    sono nuovo di questo forum quindi mi scuso prima se sto sbagliando qualcosa ma visto che si parla di IIS e quindi ipotizzo che ci sia moltissima gente preparata vi chiedo una mano a risolvere un problema che da giorni mi assilla!!!
    Allora: premetto che ho un sito che gira su IIS4 (La macchina ha S.O. nt4 sp5)
    Da ieri noto che Il sito si stoppa per cause non chiare e anche quando provo a riavviarlo, dopo un po' ecco che si stoppa di nuovo!!!
    Da cosa puo'essere dipeso?
    Mi affido all'esperienza di ognuno di voi per darmi un parere!!!
    non+autenticato
  • - Scritto da: popiero
    > Da cosa puo'essere dipeso?

    dal marchietto Microsoft sul cd di installazione. La soluzione e' installare linux o freebsd.

    > Mi affido all'esperienza di ognuno di voi
    > per darmi un parere!!!

    questa e' la mia esperienza.
    non+autenticato
  • Installa la patch dell'articolo q300972 e descritta nel bollettino di sicurezza MS01-033
    http://www.microsoft.com/technet/security/bulletin...

    dovresti risolvere
    non+autenticato
  • che non partiamo con la solita bazza. Mi sento di dire quello che gia' ho detto per i worm di linux. Quelle vulnerabilita' sono vecchie, e le patch sono fuori da almeno un mese. Se qualcuno non ha provveduto a patchare e si becca il worm gli sta bene alla grande.

    con questo non voglio raccomandare IIS al pentagono, s'intende, ma siamo obbiettivi eh..
    non+autenticato
  • Commento sensato e obiettivo.

    Le patch ci sono, se poi non vengono installate e' solamente colpa dei sysadmin.
    non+autenticato
  • Beh sicuro, fatto sta pero' che da parte mia e' abbastanza consolante leggere ogni santo giorno che c'e' un virus per outlook o un buco di sicurezza per iis e sapere che non me ne puo' fregar di meno visto che li ho radiati dal mio personale albo dei programmi usabili in ambiente professionaleSorride

    Mi metto invece nei panni di chi ha scelto M$ su tutta la linea (e ha pagato)...

    vabbe', problema suo.

    cordialita'
    non+autenticato
  • Si', pero' che accadrebbe se Linux fosse preso di mira quanto Windowz?
    non+autenticato
  • - Scritto da: The Penguin
    > Si', pero' che accadrebbe se Linux fosse
    > preso di mira quanto Windowz?

    Semplificando :

    Su linux puoi disabilitare il servizio, ed il demone demandato all'ascolto della porta viene eliminato dalla memoria, e quando si tenta un accesso da quella porta non si trova nulla.
    Se disabiliti un servizio su windows dici al demone (che si chiama in un altro modo non demone): - tipo, non aprire ache se qualcuno bussa - Lui resta li sulla soglia, guardando la porta chiusa con aria idiota, in attesa del primo che riesce a fregarlo bussando abbastanza forte.

    Piccole differenze di principio.
    non+autenticato
  • > Su linux puoi disabilitare il servizio, ed
    > il demone demandato all'ascolto della porta
    > viene eliminato dalla memoria, e quando si
    > tenta un accesso da quella porta non si
    > trova nulla.

    appunto io non riesco a capire perchè si lascia un servizio a mio avviso quasi inutile ed onerosissimo per la macchina come Index Server startato... quello che dici è giustissimo ma dovrebbe essere uno standard di amministrazione anche per NT, se un servizio non serve o demone... deve essere fermato in ogni casi...worm o non worm...
    saluti
    andy
    non+autenticato



  • No, alt... Non avete chiara la differenza? Se andate nel pannello di controllo di IIS, ad esempio, potete disabilitarlo ma il servizio rimane in memoria. Se volete priorio non farlo caircare (iis, index server o quello che volete) andate nel pannello servizi e spegnete quello che volete.
    non+autenticato
  • > No, alt... Non avete chiara la differenza?
    > Se andate nel pannello di controllo di IIS,
    > ad esempio, potete disabilitarlo ma il
    > servizio rimane in memoria. Se volete
    > priorio non farlo caircare (iis, index
    > server o quello che volete) andate nel
    > pannello servizi e spegnete quello che
    > volete.
    perche qualcosa dovrebbe partire come default era questa la domanda ??? il sistema dovrebbe partire col minimo neccessario e poi eventualmente caricare qualcosa...
    w98 per esempio...in memoria viene caricato webcheck.dll, che si occupa di "Utilità di monitoraggio siti Web"...mi spieghi perche viene caricato di default ???

    non+autenticato
  • - Scritto da: The Penguin
    > Si', pero' che accadrebbe se Linux fosse
    > preso di mira quanto Windowz?

    penso che gia' lo sia, ad ogni modo sono dell'opinione che migliorerebbe ulteriormente molto in fretta.
    non+autenticato
  • I prodotti più usati sono i più conosciuti ed è quindi logico trovare virus, worm, buchi su questi prodotti (linux compreso). Non mi dire che OS400, solaris, OpenVMS, HPUX non hanno buchi!? solo che gli smanettoni non hanno l'opportunità di metterci le mani sopra e scoprire le falle. Inoltre c'è una guerra ideologica contro M$ e quindi tutti si concentrano su questi prodotti così come si protesta contro i MC Donald's.
    non+autenticato
  • C'e' una guarrea ideologica contro M$ e quindi tutti se la prendono con IIS????

    Non pensi che sia piu' facile prendersela con un sito dove numerosi SysAdm sono semplici utenti un poco piu' smaliziati dei colleghi?
    Non pensi che sia piu' facile prendersela con IIS dato che e' "piu' bucabile" per una serie di deficenze varie del sistema (e' mia impressione derivata dal leggere i problemi mensili vari ma mi sembra che i vari legami tra i programmi II$, IExploit, Outlock e altri siano un bene tanto per gli utenti che non vogliono complicarsi la vita quanto per i cattivoni che si vogliono impossessare del PC?)
    Linux e FreeBSD hanno i loro buchi qui e li', ovvio. Ma a quanto pare ne hanno meno, forse perche il codice e' sotto gli occhi di tutti. Del kraker che puo' cercare le falle ma anche di una notevole quantita' di programatori/tester che hanno le stesse possibilita del kraker di trovare, denunciare e correggere il problema.
    non+autenticato
  • Tra i sostenitori di IIS
    (nonostante abbia tutti sti buchi)
    c'e` il sito di Punto Informatico...

    Se questi di PI non vedono altra
    alternativa ci sara` un motivo, no?

    Pino Silvestre
    non+autenticato
  • sicuramente c'è un motivo (P. De Andreis, ce lo confidi? tanto resta tra noi)... ma sicuramente questo motivo non si chiama sicurezza...
    non+autenticato
  • Ragazzi non e' possibile! E' vero che IIS in fondo e' una grancosa, ma cosi' non si va piu' avanti, non e' possibile installare 5000 service pack, 2 al mese, a maggio ci sono stati dei problemi con il famoso bug che sostituiva l'index (a me non ha creato problemi, la mia home page e' sotto directory e colpiva i soliti index e default...), ora a luglio ques'altri 2. Sono sconsolato dal fatto che nonostante tutto i S.O. di microsoft costino una tombola. E' tempo di rimettersi a studiare per Linux? A me purtroppo manca il tempo e c'e' solo una cosa che mi ferma, quando riusciro' a sostituire SQL con Mysql la trasmigrazione e' fatta!Sorride

    Ciao
    non+autenticato


  • >Ragazzi non e' possibile! E' vero che
    >IIS in fondo e' una grancosa, ma cosi'
    >non si va piu' avanti, non e' possibile >installare 5000 service pack, 2 al mese,
    >a maggio ci sono stati dei problemi con
    >il famoso bug che sostituiva l'index
    >(a me non ha creato problemi, la mia
    >home page e' sotto directory e colpiva
    >i soliti index e default...), ora a
    >luglio ques'altri 2.

    5000 service pack? Poniamo una installazione
    pulita di win2000. Per portarla all'ultimo
    upgrade deci installare 1 sp e 2 hf per iis.
    Tempo totale? 10 minuti.

    >Sono sconsolato dal fatto che nonostante
    >tutto i S.O. di microsoft costino una tombola.

    Se non riesci a capire che 1 milione e mezzo (una tantum) per una azienda non sono _nulla_ non e' colpa mia.

    >E' tempo di rimettersi a studiare per Linux?

    Il trend dice che e' una noia usare vi sui filettini di testo.

    > A me purtroppo manca il tempo e c'e' solo
    >una cosa che mi ferma, quando riusciro' a
    >sostituire SQL con Mysql la trasmigrazione
    >e' fatta!Sorride

    Se con "sql" intendi sql server, se vuoi passare a mysql ti dico solo una cosa. Dimenticati la (assoluta) comodita' dell'enterprise manager e preparati ad usare "alter table" e compagni.
    non+autenticato
  • - Scritto da: Ciao

    > >Ragazzi non e' possibile! E' vero che
    > >IIS in fondo e' una grancosa, ma cosi'
    > >non si va piu' avanti, non e' possibile
    > >installare 5000 service pack, 2 al mese,
    > >a maggio ci sono stati dei problemi con
    > >il famoso bug che sostituiva l'index
    > >(a me non ha creato problemi, la mia
    > >home page e' sotto directory e colpiva
    > >i soliti index e default...), ora a
    > >luglio ques'altri 2.

    > 5000 service pack? Poniamo una installazione
    > pulita di win2000. Per portarla all'ultimo
    > upgrade deci installare 1 sp e 2 hf per iis.
    > Tempo totale? 10 minuti.

    E i bachi ci sono lo stesso...

    > >Sono sconsolato dal fatto che nonostante
    > >tutto i S.O. di microsoft costino una
    > tombola.

    > Se non riesci a capire che 1 milione e mezzo
    > (una tantum) per una azienda non sono
    > _nulla_ non e' colpa mia.

    Infatti: se hai un solo computer nella ditta vuoi non spenderci un milione e mezzo ?

    > >E' tempo di rimettersi a studiare per Linux?
    > Il trend dice che e' una noia usare vi sui
    > filettini di testo.

    Ma tu come lo editeresti un testo su un server in Slovenia con word ?

    > > A me purtroppo manca il tempo e c'e' solo
    > >una cosa che mi ferma, quando riusciro' a
    > >sostituire SQL con Mysql la trasmigrazione
    > >e' fatta!Sorride
    > Se con "sql" intendi sql server, se vuoi
    > passare a mysql ti dico solo una cosa.
    > Dimenticati la (assoluta) comodita'
    > dell'enterprise manager e preparati ad usare
    > "alter table" e compagni.

    E se trovi il tempo di imparare ad usarlo vedrai che riuscirai anche a fare di piu' delle 3-4 combinazioni di opzioni che ti offrono i wizard di SQL enterprise.
    non+autenticato
  • > 5000 service pack? Poniamo una installazione
    > pulita di win2000. Per portarla all'ultimo
    > upgrade deci installare 1 sp e 2 hf per iis.
    > Tempo totale? 10 minuti.

    e per scaricarli ?
    e per scaricare quelli dopo ? Sorride

    > Se non riesci a capire che 1 milione e mezzo
    > (una tantum) per una azienda non sono
    > _nulla_ non e' colpa mia.

    un milione e mezzo = licenze infinite ?
    se in ditta hai un computer solo allora ok (ma che ditta e'?). la ditta in cui lavoro e' di piccole dimensioni ma il ced conta almeno 20 macchine. fortunatamente non ce n'e' una microsoft.

    > >E' tempo di rimettersi a studiare per Linux?
    >
    > Il trend dice che e' una noia usare vi sui
    > filettini di testo.

    infatti io uso emacs, oppure ultraedit su una postazione w98 con save to ftpSorride

    preferisco una configurazione su testo ad una GUI 10 volte su 10: backuppabile, trasferibile in tempo zero ad una applicazione gemella, hai tutto sott'occhio, si puo' greppare in shell, si puo' editare da remoto... con il gui non si sa mai dove sono nascoste le opzioni (ms sql e' orribile in questo), la teleassistenza non esiste, ecc ecc.

    > Se con "sql" intendi sql server, se vuoi
    > passare a mysql ti dico solo una cosa.
    > Dimenticati la (assoluta) comodita'
    > dell'enterprise manager e preparati ad usare
    > "alter table" e compagni.

    baggianate: senza mai cercarne uno, ho trovato zillioni di interfacce grafiche per mysql o postgres (per X e per win32, con odbc o connessione via socket). non che le usi mai, del resto: alter table va perfettamente. Del resto, a meno che per te non sia un divertimento ridisegnare una struttura relazionale al volo in continuazione, e' destino che alter table sia chiamata 1 volta ogni 10.000 select...
    non+autenticato
  • Il problema che tu poni e' vero per windows 2000, io mi riferivo a Winnt 4 ed i relativi sp. che come saprai non sono 2! Poi 1.500.000 non e' una tantum, ma una tanto e basta... per un'azienda come dici tu puo' sembrare poco, ma non e' cosi' ammettiamo che abbia 10 pc.... Il discorso sulle licenze si complica, e' vero pero' che sql server ha la sua comodita' specialmente nella gestione manager, pero' non e' ammissibile l'ormai facilita' con cui si bucano i server di MS che esclude la bravura di un bravo webmaster per rendere sicuro il serverweb..... D'altro canto io credo che facilita' e sicurezza e' difficile da realizzare, ma rendiamoci conto che ci sono server importanti in giro..... Senza polemiche, un saluto.
    non+autenticato


  • - Scritto da: walter
    > Il problema che tu poni e' vero per windows
    > 2000, io mi riferivo a Winnt 4 ed i relativi
    > sp. che come saprai non sono 2!

    Guarda che basta installare l'ultimo... mica ti devi scaricare gli altri.

    Ciao.
    non+autenticato


  • - Scritto da: walter
    > Poi
    > 1.500.000 non e' una tantum, ma una tanto e
    > basta... per un'azienda come dici tu puo'
    > sembrare poco, ma non e' cosi' ammettiamo
    > che abbia 10 pc....

    Il discorso e' sempre quello: hai un gruppo server da 10 macchine? Allora sei *grosso*. E 10 licenze sono una voce piccola piccola rispetto alla marea di utenti che ti si collegheranno ad un gruppo cosi' folto. 10 pc intendi client? Allora non sono 1.500.000 a pc ma un decimo.

    > Il discorso sulle
    > licenze si complica, e' vero pero' che sql
    > server ha la sua comodita' specialmente
    > nella gestione manager, pero' non e'
    > ammissibile l'ormai facilita' con cui si
    > bucano i server di MS che esclude la bravura
    > di un bravo webmaster per rendere sicuro il
    > serverweb.....

    Di buchi a sql server non ne ho mai sentiti. E pure di buchi a web server non abbandonati a se stessi da anni.


    non+autenticato
  • Un motivo c'è, lo stesso che avevo io fino a un mesetto fa: non avevo mai visto Linux in azione! Lo sto imparando con calma ma lo sto imparando, certo non è una cosa che si fa in due giorni, però vederlo lavorare ti dà un mare di soddisfazioni! Vedere che puoi fare davvero ciò che vuoi, ti da sicurezza, fidati!
    Forse PI non ha ancora provato a fondo il Pinguino... mi dispiace dirlo, però Windows sta perdendo i colpi!
    non+autenticato
  • Avete notato come ogni notizia di M$ porti sempre a parlare di Linux? Forse che i sistemisti di Winzozz NT iniziano a temere la rivoluzione pinguina?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)