[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: CodeRed - Medienecho?
- To: Florian Weimer <fw@deneb.enyo.de>
- Subject: Re: CodeRed - Medienecho?
- From: Thomas Roessler <roessler@does-not-exist.org>
- Date: Thu, 2 Aug 2001 17:47:01 +0200
- Cc: debate@lists.fitug.de
On 2001-08-02 17:21:37 +0200, Florian Weimer wrote:
>Ralph Angenendt <ralph@strg-alt-entf.org> writes:
>>Bei uns war das um den 19. Juli herum *deutlich* weniger (ca.
>>300 Anfragen bis zum 20.).
_Weniger_ oder _seltener_?
>Das deckt sich mit meiner Beobachtung. Eigentlich müßte das ja
>anders sein, aber was soll's...
Das Netz ist seit bald 12 Stunden in einem im wesentlichen
Wurm-saturierten Zustand. Das heißt, seit bald 12 Stunden sind
mehrere 100.000 Rechner dabei, im Netz nach Opfern zu suchen. Diese
Phase hat im Juli nur sehr kurz gedauert. Es ist also ganz
natürlich, daß zur Zeit mehr Scans als im Juli beobachtet werden.
Allerdings sollte die _Frequenz_ der Scans die am späten 19. Juli
gemessene sicherlich nicht überschreiten.
Genau der gleiche Effekt erklärt auch, wieso z.B. bei incidents.org
die Anzahl der als infiziert identifizierten Rechner diejenige vom
Juli langsam einholt: Je länger der saturierte Zustand anhält, desto
wahrscheinlicher ist es, daß irgendein gegebener infizierter Host
auch tatsächlich entdeckt wird. wenn sich die Zahl der infizierten
Rechner in ein paar Tagen stabilisiert, werden wir daher auch
endlich wissen, wie viele Server im Juli wirklich infiziert wurden.
Soweit ich das sehe, kann man übrigens jetzt schon von > 400.000 im
Juli infizierten IISen ausgehen.
Ach ja: Der von Securityfocus verlinkte Beitrag "Code Red losing
steam" sieht so aus, als hätten die dort zitierten Quellen die
bisher vorhandenen Modelle für das Verhalten des Wurms nicht einmal
ansatzweise verstanden. Schade eigentlich.
--
Thomas Roessler http://log.does-not-exist.org/