Ne verujem da ces negde naci source kod, a ako i nekako nedjes postuj ovde. Inace ovaj crv (code red) ne napada Linux.Code Red je samoprostiruci crv koji iskoriscava propust u Internet
Information Serveru (IIS), serverskom delu Microsoftovih sistema Windows2000 i Windows NT. On skenira Internet i trazi ranjive sisteme koje zarazi tako sto se instalira na njih. Zakrpa koja otklanja propust postoji jos od polovine juna.
Microsoftova zakrpa nalazi se na adresi
http://www.digitalisland.net/codered/
Code Red koji je bio uspavan od 27. jula, otkriven je sredinom jula i tada je zarazio preko 250.000 racunara za devet sati. Zbog nacina na koji je napisan njegova aktivnost prestaje od 27. do 30. u mesecu a zatim se nastavlja prvog dana sledeceg meseca.
Kada zarazi sistem crv odmah skenira 100 IP adresa trazeci ranjive servere. Ova faza njegove aktivnosti odvija se od prvog do dvadesetog u mesecu. Kad nastupi dvadeseti zarazeni sistemi zapocinju napade na lokaciju Bele kuce do dvadeset sedmog u mesecu a potom crv uzima odmor.

Mada je prvog sata drugog kruga aktivnosti crva Code Red (prvog avgusta odmah posle ponoci) zarazeno samo 76 sistema taj broj se popeo na 157 u drugom satu, 495 u cetvrtom, 1591 u sestom i 13.487 u desetom. Ukupan broj zarazenih servera do sada je dostigao 99.000. Proslog meseca, 19. jula, zarazio je preko 250.000 servera za devet sati, promenivsi im naslovne strane ili pokrecuci napade izazivanjem odbijanja usluge (Denial of Service, DoS) koji su usporili Internet i onemogucili rad Web lokacije Bele kuce.Program ima ugradjen tajmer koji je izazvao njegovo ponovno pokretanje u sredu cim je prosla ponoc po Grinickom vremenu (8 uvece u utorak u Njujorku ili 9 ujutro u sredu u Tokiju).
Ukoliko je server zarazen dvema kopijama crva skenirace 10.000 IP adresa umesto 100 jer crvi imaju umnozavajuci efekat. Zato se veruje da ce ovog puta biti napadnut svaki sistem koji je jos uvek ranjiv a smatra se da takvih servera ima izmedju pola miliona i milion.
Pozdrav.

Bojan Bašić: obrisan nepotreban citat

[Ovu poruku je menjao Bojan Basic dana 17.03.2004. u 01:56 GMT]

A zato meni komp radi sporije :PPPP
sala mala .....


heh
dobar sistem .....
LOL

da bilo je dosta o CODE RED a najzanimljivije mi je IME koje je dobijo po napitku koje najvise piju programer jer sadrzi kofein (sto li ne sadrzi koku :)))

203.126.177.244 - - [05/Aug/2001:17:43:38 +0200] "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 325

#grep ida access_log |wc -l
42
Daklem, za jedan dan sam dobio 42 pokusaja sa 42 razlicita IPja ... ovo se bash brzo siri. Verujem da je do sad pohakovao sve Win2K koji nemaju SP2
A.

eo kod mene ista prica.....samo sto je malo frekventnije .....
12.84.239.66 - - [05/Aug/2001:18:22:35 +0200] "GET /default.ida?NN
209.235.0.61 - - [05/Aug/2001:19:24:36 +0200] "GET /default.ida?NNN
213.56.39.164 - - [05/Aug/2001:19:25:16 +0200] "GET /default.ida?XX
213.82.155.101 - - [05/Aug/2001:19:26:11 +0200] "GET /default.ida?XXX
213.96.97.170 - - [05/Aug/2001:19:32:45 +0200] "GET /default.ida?XXX
213.66.95.206 - - [05/Aug/2001:19:41:20 +0200] "GET /default.ida?XXX


he ....videcemo za koji dan ....
Hail Bil Gates !!!

Tnx passanger

A jeli postoji kakva mutacija tog virusa?

ja ne smen ni da postujem sa nasih servera log ovde jel ne bi stalo sve na jednu stranu... :)

Kod mene imam oko 20 napada dnevno - i dalje... Ne jenjava :)

IIS5 Win2K SP2

Koliko ja znam jos ne postoji nekakva mutacija CODE REDa, ali ako ne postoji pojavice se brzo, jer je zaista je od efikasnijih crva, pa ce se naci neki klinac koji zeli da postane haker, i prepraviti source. Samim tim cim je nasao source, nacice ga i drugi ozbiljniji pa ce napraviti 'MOZDA' jos bolju mutaciju.
Pozdrav.

Hehehe vec?

Bura oko virusa (crva) Code Red jos se nije stisala. Svakodnevno stizu
novi izvestaji o njegovim dejstvima, a vec se pojavljuju i glasine o
njegovoj novoj verziji.

Ako je verovati nekolicini kompanija za racunarsku bezbednost, novi,
potencijalno jos opasniji, Code Red II poceo je da se siri tokom upavo
zavrsenog vikenda.

Kompanija Computer Associates International smatra da je Code Red II
opasniji od prethodnika iz nekoliko razloga: prvo, zato sto na napadnutom
racunaru ostavlja otvorena "zadnja vrata", cime napadacima omogucava lak
pristup kompletnom sadrzaju, ukljucujuci lozinke, kao i brisanje i zamenu
datoteka.

Kao i prethodnik, Code Red II napada racunare koji rade pod operativnim
sistemom Windows NT/2000 na kojima radi program Internet Information
Server (i koji nisu "zakrpili" propust), a NE dira ostale racunare.
Medjutim, i pored toga, smatra se da novi crv nije samo varijanta starog,
vec da se radi o sasvim novom programu koji ima iste potpise i nacin
napada kao stari. Racunar zarazen starim crvom moze biti ponovo zarazen
novim, a po izvestajima kompanije Security Focus, najveci problem u
otkrivanju lezi u cinjenici da crv "umire" posle dva dana (ali ne i
njegovo delo).

Ovo je bila losa vest; dobra vest je da je zakrpa koja zaustavlja staru
verziju i koja se moze preuzeti na adresi
http://www.microsoft.com/techn...s/security/topics/codealrt.asp,
efikasna i u borbi sa drugom generacijom "sifre crveno". Preporucena
procedura je: preuzimanje zakrpe sa Interneta; prekid veze sa Internetom;
resetovanje i ponovno pokretanje racunara; instaliranje zakrpe; jos jedno
resetovanje i pokretanje racunara; ponovno povezivanje na Internet. Posle
toga, trebalo bi da je racunar potpuno imun na crve obe generacije. (B.S.)
Pozdrav.

paz'te samo ovu bezobzirnost ;)

'Pokazujuci jos jednom da ne sledi ono sto sam propoveda, Microsoft je
u cetvrtak potvrdio da je Internet crv Code Red zarazio njegova dva
servera koji se koriste u radu sluzbe Hotmail za slanje i primanje e-
poste preko Weba.
"Nekoliko MSN Hotmail servera zarazeno je crvom Code Red. Serveri su
odmah uklonjeni, iskljuceni i zakrpljeni", izjavila je predstavnica
britanskog ogranka kompanije i dodala da je infekcija uocena u sredu
popodne u SAD.
Od dva inficirana sistema jedan je sluzio za testiranje i nikakvi
podaci korisnika nisu kompromitovani, dodala je ona. Svi korisnici
ponovo imaju bezbedan pristup uslugama sluzbe Hotmail. Hotmail ima
preko 100 miliona korisnika sirom sveta.
Microsoft je preduzeo dodatne mere da pojaca bezbednost svojih
servera i svoje mreze kako bi efekte uticaja ovog crva sveo na
minimum, saopstila je predstavnica kompanije. Ispostavilo se da je u
pitanju bio varijetet Code Red II (poznat i kao Code Red 3.0)
originalnog crva Code Red koji se po drugi put aktivirao proslog
vikenda.
Ovo nije prvi put da Microsoft zaboravi da i sam instalira
bezbednosnu zakrpu. Holandski haker Dimitri uspeo je prosle godine da
se dva puta uvuce u Microsoftov Web server, a drugi put cak posle
Microsoftovog saopstenja da je njegovo osoblje zakrpilo propust kojim
se Dimitri sluzio za svoje upade.'

Pozdrav.

ja sam u zadjnih 10 dana ima 35 mb httpd_error.log fajl
i cudim se sta je to default.ida;)

Ajd da budem malo los pa da pitam
"a gdje moze da se nadje klijent za taj backdoor" ili
makar na kom portu slusa :?:)

tresla se gora rodio se mis!!! nista nije spektakularno uradio, vecu paniku je digao CNN nego crv

Veruj mi da je u bits-u bilo baš spektakularno, imali su užasnih problema sa default.ida saobraćajem..