Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:crvi [2020/12/29 01:50] icindric [2.4. Identifikacija Napada i Zaštita] |
racfor_wiki:crvi [2024/12/05 12:24] (trenutno) |
||
|---|---|---|---|
| Redak 54: | Redak 54: | ||
| \\ //Code Red// je bio prvi uspješan napad velikog razmjera na // | \\ //Code Red// je bio prvi uspješan napad velikog razmjera na // | ||
| \\ Crva su otkrili Marc Maiffret i Ryan Permeh, zaposlenici kompanije //eEye Digital Security//. | \\ Crva su otkrili Marc Maiffret i Ryan Permeh, zaposlenici kompanije //eEye Digital Security//. | ||
| - | \\ Nazvan je //Code Red// jer su u to vrijeme pili //Code Red Mountain Dew// piće.[5] | + | \\ Nazvan je //Code Red// jer su u to vrijeme pili //Code Red Mountain Dew// piće.[2] |
| \\ Prva verzija se naziva CRv1. Druga verzija, detektirana 19. srpnja, je dijelila gotovo sve karakteristike s prvom verzijom. Počela se širiti puno brže od originalne verzije. | \\ Prva verzija se naziva CRv1. Druga verzija, detektirana 19. srpnja, je dijelila gotovo sve karakteristike s prvom verzijom. Počela se širiti puno brže od originalne verzije. | ||
| \\ Procjenjuje se da je unutar samo devet sati zaraženo više od četvrt milijuna računala diljem svijeta. | \\ Procjenjuje se da je unutar samo devet sati zaraženo više od četvrt milijuna računala diljem svijeta. | ||
| Redak 89: | Redak 89: | ||
| \\ \\ Zbog toga što su obje verzije bile spremljene u radnoj memoriji, mogli su biti uklonjeni gašenjem računala. | \\ \\ Zbog toga što su obje verzije bile spremljene u radnoj memoriji, mogli su biti uklonjeni gašenjem računala. | ||
| No, postojala je vrlo velika šansa nove zaraze pošto početna ranjivost i dalje nije riješena.[7] | No, postojala je vrlo velika šansa nove zaraze pošto početna ranjivost i dalje nije riješena.[7] | ||
| + | \\ | ||
| + | Ovdje su prikazane neke informacije o širenju crva 19.7.2001. | ||
| + | \\ \\ | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| ==== 2.3. Iskorištavanje Ranjivosti ==== | ==== 2.3. Iskorištavanje Ranjivosti ==== | ||
| === 2.3.1. Ručni napad === | === 2.3.1. Ručni napad === | ||
| Redak 154: | Redak 159: | ||
| === 2.4.1. Identifikacija === | === 2.4.1. Identifikacija === | ||
| - | todo... | + | |
| + | \\ **Identifikacija logovima.** \\ | ||
| + | \\ Ako je poslužitelj napadnut Code Red crvom, postoji zapis u logovima poslužitelja. | ||
| + | Bitno je za napomenuti da će zapis postojati neovisno o tome je li sustav zaražen ili nije. | ||
| + | Stoga je nemoguće odrediti je li sustav zaražen samo na temelju logova. | ||
| + | \\ Međutim, ako postoji zapis i zna se da sustav nije osiguran od ove specifične ranjivosti, postoji vrlo velika šansa da je sustav zaražen. | ||
| + | \\ Primjer zapisa koji bi se mogao nalaziti u logu je: | ||
| + | \\ < | ||
| + | "GET default.ida? | ||
| + | NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN | ||
| + | NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN | ||
| + | NNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u909 | ||
| + | 0%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/ | ||
| + | </ | ||
| + | \\ **Drugi načini detekcije.** \\ | ||
| + | \\ | ||
| + | Administratori poslužitelja mogu uočiti da poslužitelji rade sporije ili drugačije. | ||
| + | \\ Crv može koristiti veliki broj CPU ciklusa, što može rezultirati smanjenim performansama. | ||
| + | \\ Za otkrivanje crva administrator može provjeriti procese koje se izvode na računalu s ciljem ustanovljavanja postoje li neželjeni procesi na poslužitelju. | ||
| + | \\ Također, korištenjem //netstat// instrukcije, | ||
| + | \\ Ako je konfiguriran vatrozid, može se provjeriti aktivnost na vatrozidu i ustanoviti postoji li sumnjiva komunikacija. | ||
| + | \\ \\ | ||
| + | === 2.4.1. Zaštita === | ||
| + | \\ | ||
| + | Imajući na umu potencijalne zlonamjerne mogućnosti, | ||
| + | Vatrozidovi nisu bili adekvatna zaštita zato jer crv putuje mrežom koristeći port 80 te je zbog toga takav promet vrlo teško filtrirati. | ||
| + | \\ Jedini način da se u potpunosti spriječi ovakva vrsta napada jest osiguravanje da su na svim sustavima instalirane adekvatne zakrpe. | ||
| + | \\ Pošto se radi o staroj ranjivosti, pojedinačne zakrpe više nije moguće instalirati pošto je ranjivost uklonjena u svim novijim (manje od petnaestak godina starosti) verzijama Microsoft servisa. | ||
| + | \\ Također, općenito gledano, dobra praksa je provoditi tzv. '//OS hardening//', | ||
| =====3. Zaključak ===== | =====3. Zaključak ===== | ||
| + | Ova ranjivost i napad je star gotovo 20 godina. | ||
| + | \\ Međutim, slični napadi i prijetnje se mogu desiti i danas. | ||
| + | \\ Vrlo je važno da su svi sustavi ažurirani s najnovijim zakrpama i da se poštuju pravila sigurnosti informacijskih sustava u cilju ublažavanja mogućih budućih prijetnji i napada. | ||
| + | \\ Važno je uvidjeti da prijetnje uvijek postoje. Uvijek će postojati utrka između sigurnosti informacijskih sustava i potencijalnih ranjivosti koje su sigurnost mogu ugroziti. | ||
| =====4. Literatura ===== | =====4. Literatura ===== | ||
| Redak 167: | Redak 204: | ||
| [4] Sigurnost i ranjivost operacijskog sustava, Zlonamjerni softver. Virusi, crvi, trojanci. Primjeri iz okruženja Windows i Unix. | Fakultet Elektrotehnike i Računarstva, | [4] Sigurnost i ranjivost operacijskog sustava, Zlonamjerni softver. Virusi, crvi, trojanci. Primjeri iz okruženja Windows i Unix. | Fakultet Elektrotehnike i Računarstva, | ||
| - | [5] [[https://en.wikipedia.org/wiki/Code_Red_(computer_worm)]] | + | [5] [[https://www.scientificamerican.com/article/ |
| [6] [[https:// | [6] [[https:// | ||