Hopp til navigasjon Hopp til innhold

DDoS’ere vil ta Det Hvite Hus

I dag innledet den kinesiske «Code Red»-ormen et 10 dagers DDoS-angrep påHvite Hus i Washington. Men angrepet ser så langt ut til å være mislykket.

Det hvite hus sprenges
Angrepet forventes å vare i ti dager, og den amerikanske regjeringen var godt forberedt. Ved å omdirigere legale brukere fra IP-adressen 198.137.240.91 til 198.137.240.92 ser de ut som de har lurt angriperen så langt.

Mens ormen fortsatte å hamre løs på den første IP-adressen, fungerte alt som normalt på den nye, der bare oppkall uten Red Alert-ormens signatur slapp inn.

Ormen sendte heller ikke så mange falske oppkall som man hadde ventet.

«Code Red», hvis fulle navn er IIS.Codered.worm, gjør Microsoft-baserte ISS (Internet Information System) webservere til saktegående zombier.

Microsoft selv skal ha blitt angrepet i går, nærmere bestemt Windows Update-tjeneste.

Skjermbilde innsendt av viruskonsulent Peter Kruse

Fra Kina

Påfallende mange slike angrep mot vitale selskaper og institusjoner i USA kommer nå fra Kina. Forholdet mellom de to landene har lenge vært kjølig, og nådde en bunnivå da kineserne holdt tilbake et amerikansk militærfly på kinesisk territorium 1. april.

På nettsteder som er angrepet vises meldingen «Welcome to http:// www.worm.com! Hacked By Chinese» på index-siden.

Datapakke

Ormen sender en 100 kilobyte datapakke til port 80 på serverne den angriper. Port 80 brukes av webservere til å ta i mot forespørsler utenfra.

Det kan være vanskelig å stoppe pakken, siden man ikke på forhånd kan vite hvilken kilde den kommer fra. IT-administrasjonen i Det Hvite Hus klarte likevel å stoppe den ved å legge ut et søk på virusets bit-signatur.

Sovende orm

Code Red er programmert slik at den legger seg til å sove i fire timer etter at det første angrepet er gjennomført, for så å våkne igjen.

36 000 angrepet

I følge SANS ((System Administration, Networking, and Security)-instituttet er hittil 36 000 IIS-server rammet av ormen. Anslaget baserer seg på at det inntil i går var registrert suspekte oppkall til port 80 på deres egne systemer fra 35 983 unike servere.

Microsoft har lagt ut en patch som er ment å fjerne og beskytte mot Red Alert, men sikkerhetsfolk IT-avisen har vært i kontakt med mener at denne ikke er helt oppdatert.