[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: CodeRed - Medienecho?

On 2001-08-02 17:21:37 +0200, Florian Weimer wrote:

>Ralph Angenendt <ralph@strg-alt-entf.org> writes:

>>Bei uns war das um den 19. Juli herum *deutlich* weniger (ca. 
>>300 Anfragen bis zum 20.).

_Weniger_ oder _seltener_?

>Das deckt sich mit meiner Beobachtung. Eigentlich müßte das ja 
>anders sein, aber was soll's...

Das Netz ist seit bald 12 Stunden in einem im wesentlichen 
Wurm-saturierten Zustand.  Das heißt, seit bald 12 Stunden sind 
mehrere 100.000 Rechner dabei, im Netz nach Opfern zu suchen.  Diese 
Phase hat im Juli nur sehr kurz gedauert.  Es ist also ganz 
natürlich, daß zur Zeit mehr Scans als im Juli beobachtet werden. 
Allerdings sollte die _Frequenz_ der Scans die am späten 19. Juli 
gemessene sicherlich nicht überschreiten.

Genau der gleiche Effekt erklärt auch, wieso z.B. bei incidents.org 
die Anzahl der als infiziert identifizierten Rechner diejenige vom 
Juli langsam einholt: Je länger der saturierte Zustand anhält, desto 
wahrscheinlicher ist es, daß irgendein gegebener infizierter Host 
auch tatsächlich entdeckt wird.  wenn sich die Zahl der infizierten 
Rechner in ein paar Tagen stabilisiert, werden wir daher auch 
endlich wissen, wie viele Server im Juli wirklich infiziert wurden.

Soweit ich das sehe, kann man übrigens jetzt schon von > 400.000 im 
Juli infizierten IISen ausgehen.

Ach ja: Der von Securityfocus verlinkte Beitrag "Code Red losing 
steam" sieht so aus, als hätten die dort zitierten Quellen die 
bisher vorhandenen Modelle für das Verhalten des Wurms nicht einmal 
ansatzweise verstanden.  Schade eigentlich.

-- 
Thomas Roessler                        http://log.does-not-exist.org/