---

Hej Gruppen.

Tjaaaa .. mon Zitech vågner op til en behagelig overraskense her Fredag
morgen ??

www.zitech.dk

En ting er helt sikkert, det havde de ikke gjordt hvis ikke de havde sat
deres lid' til at Microsoft kunne prestere at lave noget ordentligt
software, istedet for at bruge alt deres tid på at "koge ny suppe, på gamle
ben" .. At skrive en worm som "Red code" og "Sadmind" er ondt, og afskyeligt
... men der er kun folk der KAN, så længe Microsoft tillader det !

http://www.cert.org/incident_notes/IN-2001-08.html

.... Venligst ... El

---

El Diablo <spammer_fuck_off@privacy.com> wrote:
> Hej Gruppen.

"Gruppe."

> Tjaaaa .. mon Zitech vågner op til en behagelig overraskense her Fredag
> morgen ??

"Overraskelse", "fredag", "?".

Ja, f.eks. Microsoft's IIS har ofte implementationsfejl, men sagen bliver
ikke bedre af at du poster tankeloese artikler paa Usenet.

Der er to grunde til at IIS (og iPlanet) har langt flere sikkerhedsfejl end
Apache har:

1) Koden er langt mere kompliceret i form af ASP og JSP og andet
funktionalitet som Apache ikke har.
2) Det kan bedre betale sig for disse firmaer at bruge x antal
udvikler timer paa at rette problemer som bliver fundet af kunder
et al. end at gaa hele koden igennem for fejl.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Axel.

> Ja, f.eks. Microsoft's IIS har ofte implementationsfejl, men sagen bliver
> ikke bedre af at du poster tankeloese artikler paa Usenet.

Uuuuuuhhh .. lidt morgen sur ellers ?? .. Men hvad mon så det blivere bedere
af ??

Lad der ikke herske tvivl om at jeg føler med Zitech !!! .. Jeg er selv
ansvarlig for en række IIS systemer i det meste af Europa, jeg gruer da' for
samme skæbne !

Hvis du syntes jeg er tankeløs så er det dit problem !

> Der er to grunde til at IIS (og iPlanet) har langt flere sikkerhedsfejl
end
> Apache har:

JA !!

1 .. At tjæne penge ..
2 .. At tjæne flere penge ..

Var IIS Open Source, ville de få hjælp til at få rette alle de små
sikkerheds fejl .. helt gratis .. det ses tit i Linux sammenhæng.

.... El

---

El Diablo <spammer_fuck_off@privacy.com> wrote:
> Axel.

Godt stavet.

>> Der er to grunde til at IIS (og iPlanet) har langt flere sikkerhedsfejl
> end
>> Apache har:
>
> JA !!
>
> 1 .. At tjæne penge ..
> 2 .. At tjæne flere penge ..
>
> Var IIS Open Source, ville de få hjælp til at få rette alle de små
> sikkerheds fejl .. helt gratis .. det ses tit i Linux sammenhæng.

Folk tror at Open Source er lige med oejeblikkelig sikker kode. Selv om
jeg foretraekker diverse Open Source loesninger til at loese mine problemer
med, driver det mig til vanvid naar Open Source fanatikere kommer med den
slags udtalelser.

Open Source's ditto til Microsoft's penge er antal brugere. Der findes Open
Source loesninger som vil have saa mange brugere som muligt i stedet for at
levere kvalitetskode. Kan vi sige f.eks. Wu-ftpd?

Jeg skrev noget om Open Source vs. Closed Source for et stykke tid siden, da
jeg blev traet af at gentage migselv:

http://a.area51.dk/open-vs-closed

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9leuqh.a89.a@C-Tower.Area51.DK...
> Der er to grunde til at IIS (og iPlanet) har langt flere sikkerhedsfejl
end
> Apache har:
>
> 1) Koden er langt mere kompliceret i form af ASP og JSP og andet
> funktionalitet som Apache ikke har.

Hvis du nu lige smider PHP eller en JSP-fortolker efter Apache ligesom alle
vi andre gør, så kan Apache (mig bekendt) en hel del mere end IIS.

> 2) Det kan bedre betale sig for disse firmaer at bruge x antal
> udvikler timer paa at rette problemer som bliver fundet af
kunder
> et al. end at gaa hele koden igennem for fejl.

Og det er da egentlig en RET dårlig undskyldning.
Microsoft mangler penge? Apache Foundation gør ikke?
Måske skulle jeg tilbyde min chef at arbejde gratis, og på den måde løse
mine økonomiske problemer? Øhh...

--
Mvh.

Niels Andersen

---

Niels Andersen <niels-usenet@myplace.dk> wrote:
>> 1) Koden er langt mere kompliceret i form af ASP og JSP og andet
>> funktionalitet som Apache ikke har.
>
> Hvis du nu lige smider PHP eller en JSP-fortolker efter Apache ligesom alle
> vi andre gør, så kan Apache (mig bekendt) en hel del mere end IIS.



>> 2) Det kan bedre betale sig for disse firmaer at bruge x antal
>> udvikler timer paa at rette problemer som bliver fundet af
> kunder
>> et al. end at gaa hele koden igennem for fejl.
>
> Og det er da egentlig en RET dårlig undskyldning.
> Microsoft mangler penge? Apache Foundation gør ikke?

Det er bestemt ikke en undskyldning, det er en begrundelse. Faktum er, at
software firmaer ikke tager en stor risiko ved at sende defekt software ud.
Indtil det _bliver_ risikabelt for dem (f.eks. Microsoft bliver trukket i
retten over IIS's implementationen) er det oekonomisk taabeligt for dem, at
have deres udviklere til at gaa kode igennem for fejl, naar disse samme
udviklere kan bruges paa andre projekter.

Jeg siger ikke det er saadan tingene skal vaere. Jeg siger bare, det er
saadan tingene er.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9lg4bf.g80.a@C-Tower.Area51.DK...
> >> 2) Det kan bedre betale sig for disse firmaer at bruge x antal
> >> udvikler timer paa at rette problemer som bliver fundet af
> >> kunder et al. end at gaa hele koden igennem for fejl.
> >
> > Og det er da egentlig en RET dårlig undskyldning.
> > Microsoft mangler penge? Apache Foundation gør ikke?
>
> Det er bestemt ikke en undskyldning, det er en begrundelse.
[...]
> Jeg siger ikke det er saadan tingene skal vaere. Jeg siger bare, det er
> saadan tingene er.

Så er vi enige. :)

Din kommentar til min kommentar til dit første punkt (er du med?) forsvandt
vist. Det var nu ellers det primære i mit indlæg.

--
Mvh.

Niels Andersen

---

"El Diablo" skrev

> http://www.cert.org/incident_notes/IN-2001-08.html

MS udgav en bulletin den 18 juni lokal US tid (jeg havde den 3 minutter
over midnat), med et fix:

<URL: http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms01-033.asp >

Code Red ormen blev sluppet løs fredag den 13 juli, MS har fixet pro-
blemet for lidt under en måned siden.

Mails på NTBugtraq listen (har fået dem for 5 minutter siden), tyder på
at der er lanceret en variant, som ikke scanner ip-ranges, men tilfældige
ip-adresser igen og igen (med det par timers mellemrum).

Ormen påvirker også Cisco 675 ADSL routere og andet netudstyr (Cisco
75xx, HP Jetdirectboxe, 3Com Lanmodems), hvis webinterfacet er slået
til.

Der blev spurgt til problemet i .netmisbrug, jeg har sendt links og
citater fra mailinglisterne til .netmisbrug.

Uanset hvilke produkter man arbejder med, er det en god ide at være med
på sikkerheds mailing listen fra det pågældende firma, f.eks. MS:

<URL: http://www.microsoft.com/technet/security/bulletin/notify.asp >

Man kan også bruge MS gratis newsserver og diskutere sikkerhed med andre
brugere af f.eks. IIS:

<URL: news://msnews.microsoft.com/microsoft.public.inetserver.iis >

BEMÆRK: der er vældigt mange indlæg i gruppen, jeg har lige hentet lidt
over 23.000 indlæg deri.

Lige nu bliver der diskuteret, hvad man skal gøre ved Code Red 2 og
hvordan den opfører sig.

Fejlfrit software findes ikke.

Med venlig hilsen

Peder

---

Hej Peder.

Tusind tak for dit saglige indlæg .. Jeg anede ikke det med at det også
kunne påvirke Cisco, HP, og 3Com's produkter .. jeg vil straks checke vores
udstyr af den type.

> Code Red ormen blev sluppet løs fredag den 13 juli, MS har fixet pro-
> blemet for lidt under en måned siden.

Jeg er ikke overdrevet inponeret over at det har taget Ms næsten en måned
og: 1 .. erkende de havde et problem 2 .. Løse det med en Patch.

Den sidste mindre alvorlige Linux sikkerheds fejl jeg mindes, kom med en ny
version af Redhat .. der kom en officiel patch fra Redhat inden for 24 timer
efter frigivelse at softwaret. Alene fordi nogle svedige eksperter straks
kunne kikke i koden og hjælpe til med at få rettet fejlen.

> Uanset hvilke produkter man arbejder med, er det en god ide at være med
> på sikkerheds mailing listen fra det pågældende firma, f.eks. MS:

Helt enig .. Dog er jeg glad for at de mindre fejl på de Redhat maskiner jeg
også tilser bliver rettet, mens jeg ligger i min seng og sover ! :)

... Venligst ... El

---

On Fri, 20 Jul 2001 03:51:56 +0200, "El Diablo"
<spammer_fuck_off@privacy.com> wrote:

>Den sidste mindre alvorlige Linux sikkerheds fejl jeg mindes, kom med en ny
>version af Redhat .. der kom en officiel patch fra Redhat inden for 24 timer
>efter frigivelse at softwaret. Alene fordi nogle svedige eksperter straks
>kunne kikke i koden og hjælpe til med at få rettet fejlen.

.... og hvor mange nye RedHat-brugere har så installeret den patch
(endsige overhovedet checket for sikkerhedsopgraderinger)?


--
- Pede
Professionel nørd

---

"Peter Brodersen" <professionel@nerd.dk> wrote in message
news:vidflt445gqmbuipppjvnqunbku987a362@news.worldonline.dk...
> > der kom en officiel patch fra Redhat inden for 24 timer
> > efter frigivelse at softwaret.

> ... og hvor mange nye RedHat-brugere har så installeret den patch
> (endsige overhovedet checket for sikkerhedsopgraderinger)?

Alle der har downloadet mere end 24 timer efter frigivelsen?

--
Mvh.

Niels Andersen

---

On Fri, 20 Jul 2001 08:06:56 +0200, "Niels Andersen"
<niels-usenet@myplace.dk> wrote:

>Alle der har downloadet mere end 24 timer efter frigivelsen?

Jeg må indrømme, at jeg tror, at de fleste nye brugere blot
installerer fra en eller anden skive, i stedet for at installere over
nettet.


--
- Pede
Professionel nørd

---

"Peter Brodersen" <professionel@nerd.dk> wrote in message
news:63kglts4jtdjqamru3l2uara798fi4an0r@news.worldonline.dk...
> >Alle der har downloadet mere end 24 timer efter frigivelsen?
>
> Jeg må indrømme, at jeg tror, at de fleste nye brugere blot
> installerer fra en eller anden skive, i stedet for at installere over
> nettet.

Tjah, det gør de vel. Jeg må indrømme jeg ikke ved hvordan de kører deres
CD-værk, men jeg gå ud fra at de ikke trykker flere milioner inden det er
blevet testet bare én dag.


Mvh.

Niels Andersen

---

Den Fri, 20 Jul 2001 17:38:43 +0200 skrev Peter Brodersen:
>On Fri, 20 Jul 2001 08:06:56 +0200, "Niels Andersen"
><niels-usenet@myplace.dk> wrote:
>
>>Alle der har downloadet mere end 24 timer efter frigivelsen?
>
>Jeg må indrømme, at jeg tror, at de fleste nye brugere blot
>installerer fra en eller anden skive, i stedet for at installere over
>nettet.

Der er nu ret mange inde i d.e.s.unix der spørger hvor man kan downloade
linux, eller hvordan man brænder en .ISO fil på en CD.

Mvh
Kent
--
Indlæringskurven til Linux er stejl, til tider lodret... Men for katten
hvor er udsigten på toppen dog fantastisk
- Michael G. Vendelbo i dk.snak

---

On Fri, 20 Jul 2001 17:07:26 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:

>Der er nu ret mange inde i d.e.s.unix der spørger hvor man kan downloade
>linux, eller hvordan man brænder en .ISO fil på en CD.

Yep, men (lettere generaliserende) alene det at man fx bruger
nyhedsgrupper, plejer at betyde, at man i højere grad tilhører en
målgruppe, der er vant til at hente information på nettet.


--
- Pede
Professionel nørd

---

Den Fri, 20 Jul 2001 19:19:46 +0200 skrev Peter Brodersen:
>On Fri, 20 Jul 2001 17:07:26 +0000 (UTC), kfr@fleggaard.dk (Kent
>Friis) wrote:
>
>>Der er nu ret mange inde i d.e.s.unix der spørger hvor man kan downloade
>>linux, eller hvordan man brænder en .ISO fil på en CD.
>
>Yep, men (lettere generaliserende) alene det at man fx bruger
>nyhedsgrupper, plejer at betyde, at man i højere grad tilhører en
>målgruppe, der er vant til at hente information på nettet.

Og hvor finder man et sted hvor man kan købe en linux-CD, hvis ikke
man spørger på nettet?

Mvh
Kent
--
echo f 0:0 ffff 0 | debug

---

Hej Kent.

> Og hvor finder man et sted hvor man kan købe en linux-CD, hvis ikke
> man spørger på nettet?

Jeg har set det hos mange software forhandlere .. og mange bogforhandlere !
... Hos boghandleren får du også et hæfte med, det sætter dig godt igang ..
for sølle 60-70 kroner .. for Linux og bogen ..

Jeg foretrækker nu at hente ISO filerne på nettet, og brænde dem på CD ..
det koster mig 10 kroner for et Linux 7.1 sæt med 4 CD'ere .. Internet
båndbredden sponcere mit arbejde gladeligt.

Det eneste jeg har set fra MS der er konkurance dygtigt til den pris, er RC1
udgaven af XP til 52 kroner. Men så virker den Kun/Måske i 160 dage.

.... Venligst .. El

---

In <gU_57.3662$oH6.280406@news010.worldonline.dk> "El Diablo" <spammer_fuck_off@privacy.com> writes:

>Hej Kent.

>> Og hvor finder man et sted hvor man kan købe en linux-CD, hvis ikke
>> man spørger på nettet?

>Jeg har set det hos mange software forhandlere .. og mange bogforhandlere !
>.. Hos boghandleren får du også et hæfte med, det sætter dig godt igang ..
>for sølle 60-70 kroner .. for Linux og bogen ..

>Jeg foretrækker nu at hente ISO filerne på nettet, og brænde dem på CD ..
>det koster mig 10 kroner for et Linux 7.1 sæt med 4 CD'ere .. Internet
>båndbredden sponcere mit arbejde gladeligt.

>Det eneste jeg har set fra MS der er konkurance dygtigt til den pris, er RC1
>udgaven af XP til 52 kroner. Men så virker den Kun/Måske i 160 dage.

>... Venligst .. El

Du bruger nu stadigvaek Outlook Express til at poste dine beskeder med ?!

/Martin

---

On Fri, 20 Jul 2001 17:55:22 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:

>Og hvor finder man et sted hvor man kan købe en linux-CD, hvis ikke
>man spørger på nettet?

Spørger sine venner eller i butikker?

Min pointe er, at det ganske enkelt ikke er repræsentativt at kigge i
nyhedsgrupper. Kun en lille procentdel af alle Internetbrugere (og
computerbrugere i det hele taget) benytter sig af nyhedsgrupper, og
disse brugere er gennemsnitligt mere teknisk kyndige, end de
resterende.


--
- Pede
Professionel nørd

---

"El Diablo" skrev

> Tusind tak for dit saglige indlæg .. Jeg anede ikke det med at det også
> kunne påvirke Cisco, HP, og 3Com's produkter .. jeg vil straks checke
> vores udstyr af den type.

Tjek også jeres Novell servere, hvis i har nogle. Borderware bryder sig
åbenbart heller ikke om Code Red ormen.

Problemet rammer sikkert mange andre produkter, fordi meget computerud-
styr sælges under et væld af forskellige marketingnavne.

Det er nok sikrest, hvis man tjekker alt som svarer på port 80.

> > Code Red ormen blev sluppet løs fredag den 13 juli, MS har fixet pro-
> > blemet for lidt under en måned siden.

> Jeg er ikke overdrevet inponeret over at det har taget Ms næsten en
> måned

Prøv at læse det du citerede en gang til. Måske bliver du imponeret over,
at MS har rettet fejlen en måned før at der er nogen som forsøger at ud-
nytte den. MS frigav en patch den 18. juni. Fejlen blev forsøgt udnyttet
den 13. juli.

> Den sidste mindre alvorlige Linux sikkerheds fejl jeg mindes, kom med
> en ny version af Redhat .. der kom en officiel patch fra Redhat inden
> for 24 timer efter frigivelse at softwaret.

Det er ikke ualmindeligt, at MS er lige så hurtigt ude med en patch (som
selvfølgelig ikke er fuldt regressions testet).

> Alene fordi nogle svedige eksperter straks kunne kikke i koden og
> hjælpe til med at få rettet fejlen.

Du ved godt, at MS har givet licens til nogle af de store serverleveran-
dører, så de kan lave deres egne patches, ikke?

IBM har ansat en del svedige eksperter og har licens til at lave patches.

> Dog er jeg glad for at de mindre fejl på de Redhat maskiner jeg
> også tilser bliver rettet, mens jeg ligger i min seng og sover ! :)

Jeg har ikke adgang til kildekoden, så jeg kan også sagtens sove mens
MS laver deres patch.

Med venlig hilsen

Peder

---

"Peder Vendelbo Mikkelsen" <pedervm@gmx.net> wrote:

>Prøv at læse det du citerede en gang til. Måske bliver du imponeret over,
>at MS har rettet fejlen en måned før at der er nogen som forsøger at ud-
>nytte den. MS frigav en patch den 18. juni. Fejlen blev forsøgt udnyttet
>den 13. juli.

Problemet er så vidt jeg forstår blevet ret meget forværret af at den
fejlrettelse af MS blev beskrevet som en rettelse til en fejl i deres
Indexing Server (eller hvad den nu hedder), og at en hel del der kører IIS
uden Indexing Server, derfor har troet at rettelsen ikke var relevant for
dem.

Blandt dem som ikke har installeret rettelsen er fx MS selv: ormen har
fundet vej til mindst én af de maskiner der gemmer sig bag
windowsupdate.microsoft.com, hvilket godt kan skabe lidt bekymring over
alle de særlig spændende ting man kan hvis man kan udskifte de rettelser
den sender til MS-kunder over hele verden. (Et billede findes på
http://www.datarescue.com/fprot/virinfo/hackedbychinese.gif .)

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

DU har kommet med en sagligt indlæg og på et højt teknisk plan som jeg
løfter min hat for.



Mvh
Johnny

---

On Fri, 20 Jul 2001 03:39:17 +0200, "Peder Vendelbo Mikkelsen"
<pedervm@gmx.net> wrote:

>Man kan også bruge MS gratis newsserver og diskutere sikkerhed med andre
>brugere af f.eks. IIS:
>
><URL: news://msnews.microsoft.com/microsoft.public.inetserver.iis >

<off-topic>

news://msnews.microsoft.com/microsoft.public.inetserver.ii er da den
største børnehave jeg længe har set!!!

De 'sysadms' opfører sig som 12-årige knægte som ikke aner hvad de
skal gøre ved deres mange servere.

Der er ingen forskel på disse folk og så f.eks. unge knægte som ikke
aner hvordan man downloader fra en IRC bot -> De bliver ved med at
spørge og ingen af dem fatter åbenbart ret meget.

</off-topic>

Mvh
Sune

---

"Sune" skrev

> news://msnews.microsoft.com/microsoft.public.inetserver.ii er da den
> største børnehave jeg længe har set!!!

> De 'sysadms' opfører sig som 12-årige knægte som ikke aner hvad de
> skal gøre ved deres mange servere.

Hvorfra ved du, at de ikke rent faktisk er 12 årige knægte?

Mange US skoler har teknologi programmer, hvor eleverne bliver uddannet
med det normale undervisningsmateriale fra f.eks. MS. Sun og Cisco er
meget involveret i den slags programmer i US.

Min chef var på en tur til San Fransisco (jeg arbejder for skoleforvalt-
ningen i Århus), på en tur betalt af Sun/ Cisco, det virker som om de
gerne vil sprede de teknologi programmer til skolerne i DK.

Men det er nu ikke alle der er tågehorn i den gruppe, Aaron klein har ud-
arbejdet en løsning. Ifølge nyhedsgruppen virker løsningen, der er ikke
kommet opdateringer i mellemtiden:

"----- Original Message -----
From: "Aaron Klein" <aaron.klein@wevtec.com>
Newsgroups: microsoft.public.inetserver.iis
Sent: Thursday, December 20, 2001 4:04 AM
Subject: REV2: **** FIXES TO CODE RED and IIS SHUT DOWN ATTACKS ****

Hello friends,

Thanks for all the calls!

As for now, it is 5:53PM Pacific and the attacks appear to be continuing
on both the Code Red and IIS Shut Down fronts. I have a feeling they are
related attacks, but they do have separate fixes and symptoms, so for
now, I am treating them separately as noted below.

The following is the latest on fixing these issues.

*** "CODE RED" ATTACK
This attack replaces the home page of all of your web sites with the
phrases..."You have been infected by www.worm.com, Hacked by Chinese". It
does not delete your web files, but installs a small script that does the
deed. At that point, this is resident on your server and must be removed.

Updated Fix:
Review the article at www.cert.org/incident_notes/IN-2001-08.html. This
is a complete discussion on how to eradicate the Code Red worm. I am
revising my previous recommendation of "just the SP" to include all
hotfixes too (even though just the SP fixed my problem).

You can also read more about it at eEye Security. Their article can be
retrieved at www.eeye.com/html/Research/Advisories/AL20010717.html.

*** "IIS SHUT DOWN" ATTACK
This attack causes your web, ftp, W3SVC and other web-related services to
restart or just shut down entirely. There are many different symptoms
depending on which variety of the attack you received.

This is not a resident bug you need to find and delete or worry about in
a virus way. The fact that your services are doing this over and over is
apparently because you are receiving the attack over and over. Install
the patches as noted below, and your problem should disappear permanently.

Fix:
1. Install the latest SP for your OS (NT4 is SP6a, 2000 is SP2, see
below).
2. Install security patch MS01-026 (see below)
3. Install security patch MS01-033 (see below)
4. Reboot the server.

There are some servers that have not been fixed after these steps were
taken. I would say the success rate has been 90% though, so give it a
try. If your server continues to shut down IIS after this, I would post
your situation to the newsgroup for help.

You can read more about this issue at eEye Security as well. Their
article can be retrieved at www.eeye.com/html/Research/Advisories/AD20010618.html.

*** DOWNLOADS

Windows NT4 SP6a:

www.microsoft.com/ntserver/nts/downloads/recommended/SP6/allSP6.asp

Windows 2000 SP2:
www.microsoft.com/windows2000/downloads/servicepacks/sp2/

Security Patch MS01-026 for IIS4:
www.microsoft.com/Downloads/Release.asp?ReleaseID=29787

Security Patch MS01-026 for IIS5:
www.microsoft.com/Downloads/Release.asp?ReleaseID=29764

Security Patch MS01-033 for NT4:
www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Security Patch MS01-033 for 2000:
www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Aaron Klein
530.878.4715 x215
E-Mail aaron.klein@wevtec.com
"

Med venlig hilsen

Peder