Solaris-worm infecteert bijna negenduizend servers

Het werk van één sadmind/IIS-worm

11 mei 2001 | Jamie Biesemans De vorige week ontdekte worm sadmind/IIS zou minstens 8.800 webservers hebben geïnfecteerd. Dat blijkt uit een lijst die vorige week in handen kwam van een lid van de veiligheidssite Attrition.org. "Het ziet er echt uit", zegt Brian Martin van Attrition. Een snelle test door collega's van Martin toonde aan dat ongeveer de helft van de machines die bereikbaar waren, inderdaad besmet waren met de worm. Van de 8.800 adressen bleken er maar een kwart terug te vinden. Martin speculeerde dat de overige 75 procent misschien uit de lucht zijn vanwege de worm of omdat ze niet-publieke servers zijn.

Sadmind/IIS is best wel een opmerkelijk wormvirus. Het maakte gebruik van een lek in het Sun Solaris-systeem om in te dringen bij een server. Daarna gaat de geïnfecteerde machine op zoek naar andere servers die vertrouwen op de Internet Information Server (IIS) van Microsoft. Vindt het een IIS-server, breekt het via een tweede kwetsbaarheid binnen en neemt het de hoofdpagina over van alle sites die op de server draaien. De resulterende defacement is een nieuwe pagina waarop anti-Amerikaanse en pro-Chinese leuzes verschijnen.

In realiteit zou het aantal besmette internetservers veel groter kunnen zijn, denkt Attrition.org. De lijst van 8.800 sites bevat enkel servers die door één exemplaar van de worm werden geïnfecteerd. Brian Martin schat dat er in totaal ongeveer 50 tot 100 sadmind/IIS-wormen actief kunnen zijn. Lees meer artikels over : sadmind, deface, iis, solaris

bron: ZDNet