On Thu, 26 Jul 2001, Nils Junike wrote:
Irgendwie sieht das ganze f�r mich wie ein Angriff aus, der irgend einen Bufferoverflow ausnutzt (immerhin m�sste eine Variable mit 255 "N" -und noch irgendwas danach- angelegt werden).
Ich wuerde mir mal mit nslookup die Namen zu den IP-Adressen anzeigen lassen und bei den Leuten, bei denen die Namen nicht nach Dialup-Provider aussehen, einfach mal eine Mail an den Postmaster der Domain schicken. Wer nicht weiss, dass seine Kiste versifft ist, macht sie auch nicht dicht.
Die Namen, die mir angezeigt wurden, sahen alle bis auf einen nach irgendwelchen Buero-Rechnern aus, die normal keine Webserver-Funktion haben. Out-of-the-box standardinstalliert, tut's, gut, und die Dienste lassen wir eben Dienste sein.
Der einzige Webserver unter den Befallenen war www.labor-ministry.gr, man kann also sagen, Code Red kommt in den besten Familien vor...
F. Kiendl II. Physikalisches Institut