Seit ein paar Monaten ist eine Site online, die sich als Selbsthilfe-Datenbank gegen Trojan-Portscans versteht: DShield.org
Live-Report: Die etwa stündlich aktualisierte Grafik (hier oben) gibt auf einen Blick Auskunft über die IP-Adresse des aktivsten der derzeit gemeldeten Cracker sowie über die Nummer des am häufigsten gescannten Ports. Zu den detaillierteren Aufzählungen dieser Resultate führen rechts die Quick-Clicks. Näheres dazu später.
Real-Time Quick-Clicks
Top 10 Most Wanted
Top 10 Target Ports
NEU: The Movie!
Port Report
Search DShield
SubmitDiese Online-Datenbank erlaubt Netzwerkadministratoren und Techies, Informationen über Cracker auszutauschen, die versuchen, in fremde Rechner einzudringen. DShield.org soll als eine Art Neighbourhood Watch des Internets helfen, sich gemeinsam gegen Cracker und Skript-Kiddies zu schützen.
Der Fachausdruck für dieses freie Service lautet Distributed Intrusion Detection System.
Personen mit Firewalls können aufgezeichnete Portabfragen durch Cracker in die Datenbank der Website stellen, um anderen Mitgliedern Infos über die angreifende IP-Adresse zu liefern. Akzeptiert werden derzeit Linux 2.2.x und ipchains, das weitverbreitete ZoneAlarm sowie ein DShield-eigenes Format. Der Benutzer kann die Logs per Web-Interface oder Linux-Client an DShield.org schicken.
Inzwischen sind auch Windows Clients für BlackICE, ZoneAlarm und Linksys Etherfast Cable/SL Router verfügbar. Es handelt sich um anpaßbare Batch-Dateien (Readme.txt lesen), die den automatischen Upload neuer Log-Einträge zu DShield.org im laufenden Betrieb erlauben; – konfigurieren, manuell oder über den Windows-Scheduler starten und vergessen. Seit Anfang Dezember 2001 gibt es auch eine direkte Anbindung über das ZoneAlarm-Zusatzprogramm VisualZone.Eine Registration wird zwar angeboten, ist aber nicht Voraussetzung; die Logs der Firewalls können auch anonym an den Server in Cambridge (Boston, Massachusetts, USA) übermittelt werden, siehe Privacy Statement. Registrierten Usern wird als zusätzliches Service angeboten, die eingesandten Log-Daten nach der Schwere der Attacken bewerten und entsprechend eingefärbt anzeigen zu lassen (Check your reports), sowie sich über die FightBack-Funktion bei der Kommunikation mit den ISP der Übeltäter helfen zu lassen.
Darüber wird seit kurzem Buch geführt, hier ein paar Reaktionen von Providern: FightBack Results.
Wenn kleinere Angriffe dieser Art an den zuständigen ISP gemeldet werden, wird oft nur ein Schulterzucken geerntet. Sysadmin Johannes B. Ullrich, genervt von der Ohnmacht gegenüber »Cyberattacken«, hat daher die Website DShield.org ins Leben gerufen.
Anhand der übermittelten Firewall-Protokolle sollen Muster verdächtiger Aktivitäten – insbesondere »Distributed Denial of Service«-Attacken (DDoS) – frühzeitig erkannt werden. Ullrich hofft, daß die Auswertung der Daten hilft, sich gemeinsam vor notorischen Crackern zu schützen.
Aufschlußreich sind insbesondere die Statistik der zumeist gescannten Ports sowie die Top 10 der aktivsten »Angreifer«-IP-Adressen. Diese zeigen, daß speziell die Windows-Dateifreigabe (Ports 137 bis 139) unter Beschuß steht. Die meisten dieser Scans scheinen dabei aus amerikanischen und niederländischen Dial-In-Netzwerken zu stammen.
Neu: Port Report. Wenn man dort zum Beispiel 111 eingibt, kann man anhand einer übersichtlichen Grafik und einer Liste sehen, wann diese Port-Nummer bei den Scannern »beliebt« war, und auch, wann sie wieder aus der Mode kam.
DShield.org übernimmt auch XP-Firewall-Logs
Seit Mitte Oktober 2001 kann man die Logs zur Auswertung an DShield schicken. Zur entsprechenden Web-Seite von DShield: Client ready to submit Windows XP Pro firewall logs
Näheres zu dieser Firewall
Woher kommen die meisten Attacken? Geographische Aufteilung der letzten fünf Tage, mit der man sich hervorragend ein Bild machen kann; stets aktuell. Und keinesfalls verpassen:
DShield, The Movie !Diese Datenbanken gilt es zu unterstützen!
Damit sind die Firewall-Logs zu noch etwas nütze:
Man kann Drehbücher mit ihnen schreiben...
Submit your logs!
DShield.org übernimmt auch Code-Red-Logs
Zur entsprechenden Web-Seite von Dshield: We need your Code Red logs
Nicht nur Kabelmodem- und DSL-Benützer ächzen: Mit Code Red verseuchte Microsoft-IIS-Server schicken ihnen bis zu vierzehn Infektionsattacken pro Minute aus dem Sub-Netzwerk
Der äußerst aggressive und sich ohne weitere Aktivierung (kein Doppelklick vonnöten) verbreitende Virus-Wurm Code Red, der Mitte des Jahres 2001 viele Schlagzeilen macht, betrifft nur Web-Server mit bestimmter Microsoft-Software, nämlich alle Windows-NT- und 2000-Systeme mit dem Microsoft Internet Information Server (IIS) 4.0, 5.0 oder 6.0, auf dem der von Microsoft bereitgestellte Patch für den "Indexing Service" nicht installiert ist.
User mit Windows 95, 98 oder Me sind nicht verwundbar.
»Normal-Surfer« begegnen seinen Auswirkungen nur dann, wenn sie eine von dem Schädling gehackte Web-Seite aufrufen, wo dann anstatt des erhofften Inhalts zu lesen steht: »Hacked by Chinese!«
Außerdem melden die installierten Firewalls speziell der Kabelmodem- und DSL-User in diesen Tagen verstärkt Verbindungsversuche auf den Port Nummer 80 (HTTP) aus den Sub-Netzen der Kabel/DSL-Provider. Solange die gefährdete Server-Software nicht installiert ist, kann man diese Scans getrost ignorieren.
Eine Mutation des Wurms, die am 4. August 2001 auftauchte, verfügt nämlich über einen geänderten IP-Scanning-Algorithmus, um Rechner zu finden, die noch infiziert werden können. Er generiert Zieladressen, die zur Hälfte aus dem gleichen Class-A-Netz stammen wie der befallene Rechner (zum Beispiel 192.x.y.z) und zu drei Achteln aus dem gleichen Class-B-Netz (192.168.x.y), was zu einer stärkeren Verbreitung im jeweiligen lokalen Netz beiträgt. Die restlichen IP-Adressen werden zufällig erzeugt. Siehe auch weiter unten: Code Red II. (Quelle: Heise-Newsticker)
Für den Medien-Hype sorgten anfangs die U.S.-amerikanische Regierung, das FBI beziehungsweise die Botschaften, die etliche Aussendungen mit Aufforderung zur Berichterstattung an die Redaktionen verschickten, weil sie nervös sind und Angst vor DoS-Attacken haben, die der Virus (unter anderem) auf U.S.-Bundesrechner unternimmt.
Trotzdem die Reinigung der betroffenen Maschinen recht leicht (Schritt-für-Schritt Anleitung) und die Vorgangsweise schon lange bekannt ist, werden immer noch zahlreiche Server mit Code Red verseucht (CERT-Schätzung: 250.000-300.000). DShield.org schreibt dazu: »We need to identify the infected machines so that the owners of these machines can be notified so that they can be fixed.« Es ist davon auszugehen, daß viele User nicht einmal wissen, daß sie die gefährdete Server-Software überhaupt installiert haben.
Microsoft hat Sicherheits-Patches (Updates) für dieses Problem zur Verfügung gestellt. Diese Updates können kostenlos bei Microsoft heruntergeladen werden. Man benötigt sie nur dann, wenn Microsoft IIS-Webserver verwendet werden.
Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
(Deaktiviert den Code-Red-Virus unter Windows NT)
Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
(Deaktiviert den Code Red Virus unter Windows 2000)
Code Red II Cleaner
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
(Löscht die Dateien, die vom Virus am Computer angelegt wurden)
Diskussion mit dem Thema »Code Red Worm - Betreiber informieren?« in der Usenet-Newsgruppe de.comp.security.misc oder via Googles Usenet/WWW-Spiegel.
Weitere Informationen über Code Red auf der DShield-Website, dort gibt es ganz unten WWW-Hyperlinks, auf den Web-Seiten der Hersteller von Antivirus-Software, im Heise-Newsticker oder bei Trojaner-Info.de.
Neue, wesentlich gefährlichere Versionen: Code Red II
mit »Trojan-style Back Door« und weitere Mutanten
Ein neuer Wurm taucht im Internet auf, der ebenfalls Microsofts zunehmend berüchtige Wurmschleuder IIS Web Server zur Verbreitung verwendet.
Er nennt sich Code Red II (auch: CodeRed.v3, was die Verwirrung nicht lindert). Es handelt sich dabei um einen völlig neuen Wurm-Virus mit komplett unterschiedlichen Schadens- und Verbreitungsroutinen.
Anwender berichten von wesentlich höheren Scan-Frequenzen, die Log-Dateien der Firewalls gehen über.
Dieser Wurm installiert – ähnlich wie ein Trojaner – auf dem infizierten Server eine Hintertür (Backdoor). In der Folge wird jedem Zugang in die nicht-öffentlichen Bereiche der Server ermöglicht! Zumal jede »Infektionsattacke«, die von den Personal Firewalls geloggt wird, auf einen infizierten Scheunentor-Server hinweist, posaunen diese mit einer Hintertür »trojanisierten« Systeme ihren katastrophalen Zustand in die Internet-Welt hinaus.
Im Heise-Newsticker steht am 7. August 2001 zu lesen, daß die allerjüngste Form des Code-Red-Wurms, Version vier, zusätzlich DoS-Attacken gegen Windows-98-Rechner ausführen soll. Dabei würde der betroffene Computer mit einer Vielzahl von ARP-Requests gequält, was zu einer hohen Prozessorauslastung führe und den Rechner zeitweise unbenutzbar mache.
Microsoft hat am 8. 8. ein Tool zum Löschen der vom Code Red II installierten Hintertür veröffentlicht. Der Code Red II Cleaner entfernt aber nur die vom Wurm angelegten Dateien und schließt nicht die Sicherheitslücke in der Software des Internet Information Servers (IIS), die den Server ursprünglich verwundbar machte. Schäden, die von anderen Varianten des Code-Red-Wurms stammen, werden nicht korrigiert. Auch kann der Cleaner keine Dateien, die von einem Angreifer über die installierte Hintertür eingespielt wurden, erkennen.
Nach Schätzungen von U.S.-Experten hat der Wurm bisher weltweit einen Schaden von umgerechnet knapp 2,3 Milliarden Euro (31,7 Mrd. ATS) verursacht.
Kabelmodem-Internetprovider chello bestätigt Störungen durch Code Red
Auf der Support-Web-Seite (nur für chello-Kunden erreichbar) steht: »Viele Kunden-Webserver wurden durch den ›Code-Red‹-Wurm infiziert. Dadurch kommt es zu Performance-Einbrüchen im tiroler Netz. Die Data- beziehungsweise Receive-LEDs der Modems blinken ständig. Die Kunden sollen ihre Webserver überprüfen...«
Gegenüber der ORF-FutureZone meint der Netzbetreiber, es seien etwa 5.000 Server im chello-Netz von Code Red II infiziert – mit allen negativen Folgen. »Wir versuchen, unseren Kunden so schnell wie möglich zu helfen. Sobald wir einen infizierten Server entdeckt haben, informieren wir den Kunden per Mail und fordern ihn auf, den Sicherheitspatch einzuspielen.« Reagiere der Kunde nicht, werde er abgeschaltet.
Mehrere chello-Kunden berichten inzwischen, daß sie eine solche eMail auch erhalten, obwohl sie defintiv kein infiziertes System, sondern Windows 98 oder Linux laufen haben.
Siehe dazu auch den Artikel: Sorglose Breitband-User werden abgeklemmt
Artikel über Code Red II, 3, vier...
WebStandard: Neue Version von Code Red aufgetaucht
WebStandard: Spur der Code-Red-Programmierer führt nach Europa (Hintergrundbericht)
WebStandard: Code Red treibt Chello die Zornesröte ins Gesicht
DSLreports: Code Red II worm analysis (Diskussion)
eEye: Code Red Update
Unixwiz.net: Analysis of the new "Code Red II" Variant
Heise Newsticker: Code Red mutiert
Heise Newsticker: CodeRed/SirCam: Virtuelle Würmer und reale Schädlinge
Heise Newsticker: Patch-Checker von Microsoft
CNN: New strain of Code Red worm reported
BBC: Nastier new worm threatens internet
Wired: Code Red Returns
CNet: New variant of Code Red computer virus sighted
ORF/FutureZone: Warnung vor Code Red 2.0
ORF/FutureZone: Code Red II im Chello-Netz aktiv
ORF/FutureZone: 5000 Rechner bei Chello infiziert
ZDNet: Zwei Varianten von »Code Red« im Umlauf
Steve Gibson (GRC.com): My Code Red Advisory
Privacy Software Corporation: Code Red 2+3 Killer
ABCNews.com: Revamped Internet Worm Attacks Web Servers
SecurityFocus: Code Red II Information Headquarters (PDF-Textdateien)
Unsere Zusammenstellung Live-aktuelle News-Ticker internationaler Medien ist zu dieser Zeit voll mit Reportagen über Code Red. Der Wurm ist inzwischen so aufgebläht, daß er ein ganzes Sommerloch füllt.
Umfragen zu Code Red
Erklärung zum Schutz der elektronischen Privatsphäre
bei der Benützung dieser Umfragen (Privacy Policy).
