[Admins] Code Red continued

Jogi Hofmueller jogi at mur.at
Mon Aug 13 17:40:06 CEST 2001 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

hi!

tja, das biest hat ja fuer einigen aufruhr gesorgt. und tut es noch. bis
dato ueber 4000 hits auf versch. (v)hosts bei fox.mur.at ...

ich kann den strategien, versch. files als 'koeder' anzubieten ja einiges
abgewinnen, weil ich einem spaesschen nie abgeneigt bin, hab da aber einen
anderen vorschlag:

im srm.conf vom apache folgende zeile um den letzten eintrag ergaenzen:

AddType application/x-httpd-php .php .ida

ein script zu schreiben (fast fertig), das bei erfolgter
virusidentifikation ein mail an den webmaster absetzt mit der passenden
verstaendigung.

zusaetzlich kann das teil auch noch um features zur statistischen
auswertung ergaenzt werden :) wir kriegen zumindest eine sammlung von IPs
auf denen IIS laeuft ;)

hier mein entwurf:

- ---schnipp---
<?php
// GPL und so by jogi :)

// Code Red footprint
$footprint =
"XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a";

$curdate = date ("D M j H:i:s T Y");

if ($QUERY_STRING == $footprint) {
  $hostname = gethostbyaddr ($REMOTE_ADDR);
  $mailto = "webmaster@$hostname";

  // edit message
  $message = "Code Red attack from host $hostname at $curdate\n";

  mail ($mailto, "Code Red attack from $hostname",
  $message, "Precedence: Junk, Reply-To: noc at mur.at" );

  // save for statistical purpose
  
}

elseif ($QUERY_STRING == "") {
  echo "You are not Code Red. Sorry.";
}

else {
  // save query_string and address somewhere!!!
}

?>
- ---schnipp---


gruss
j.
- -- 
		-------------------------/
					/ 	 /"\                         /
j		http://www.mur.at/~jogi/	 \ /  ASCII RIBBON CAMPAIGN /
 o		GSM: +43-676-34 12 198/		  X   AGAINST HTML MAIL    /
  g				     /		 / \  AND POSTINGS        /
   i____________hofmueller__________/

Look for public key at my homepage ...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Made with pgp4pine

iD8DBQE7d/TaAPrjdblyzsERAjdyAJ45uBGN4M28yAYsmYlqL4sU7OvuGQCfWvnN
59zONZ1hXKl4ATYzLaLPTCA=
=hAIg
-----END PGP SIGNATURE-----

More information about the Admins mailing list