在其他地方看到code red 已經有其他變種...我把它貼上來...
我今天又被攻擊...
web server 又掛了...
不知跟昨天不小心當機有沒有關..
晚一點再更新一次...
...
發信人:
[email protected] (-vLaDiVoStOk-), 看板: security
標 題: Re: codered是不是有新的變種??
發信站: 東海大度山之戀 BBS 站 (Mon Aug 6 11:35:10 2001)
轉信站: BlueAngel!news.yuntech!news.ccu!ctu-peer!news.nctu!news.iim.nctu!ccnews
Origin: bbs.thu.edu.tw
【 在
[email protected] (nothing for me) 的大作中提到: 】
: 發現這兩天log有些不再是NNNN反倒是XXXX的比較多,
: 然後觀察一下這些XXX的來源IP發現,似乎IP前兩位都是和我主機一樣的,
: 是不是有新的變種會不斷去掃同subnet下的啊?
這應該是 CodeRed II IP generator 的關係,各個 mask 機率如下
0.0.0.0 (possibility 12.5%)
255.0.0.0 (possibility 50.0%)
255.255.0.0 (possibility 37.5%)
其他特性如下:
CodeRed II
1.利用同樣的漏洞
2.同樣的 shellcode
3.用來 trigger BoF 的是一串 "X",之前版本用 "N"
4.這次對中文版作了許多加強的功能,例如中文版會產生 600 個 thread
,英文版只有 300 個 (誰說中國人不打中國人? :) )
5.會安裝後門。
6.會 check 時間,year >= 2002 會 reboot,month >= 10 也會 reboot
(看來到 2002/10/01 就沒事,這好像是對面國慶日)