---

www.mydomain.dk/server-status

Srv PID Acc M CPU SS Req Conn Child Slot Client VHost Request
0-0 557 0/21/21 _ 0.10 440 1 0.0 0.01 0.01 213.237.17.32 www.mydomain.dk
GET /server-status HTTP/1.1
1-0 558 0/21/21 _ 0.17 4248 206 0.0 0.01 0.01 80.62.63.215 www.mydomain.dk
GET /default.ida?XX..
2-0 559 0/25/25 _ 0.02 3270 191 0.0 0.01 0.01 80.62.63.215 www.mydomain.dk
GET /default.ida?XX..
3-0 560 0/19/19 _ 0.03 17883 265 0.0 0.01 0.01 80.62.87.62 www.mydomain.dk
GET /default.ida?XX..
4-0 561 0/28/28 _ 0.19 15656 190 0.0 0.01 0.01 80.62.118.101
www.mydomain.dk GET /default.ida?XX..
5-0 725 1/17/17 W 0.04 2 0 4.3 0.01 0.01 213.237.17.32 www.mydomain.dk GET
/server-status HTTP/1.1
6-0 782 0/8/8 _ 0.02 26627 169 0.0 0.00 0.00 80.62.119.96 www.mydomain.dk
GET /default.ida?XX..
7-0 1433 0/7/7 _ 0.00 8498 207 0.0 0.00 0.00 80.62.119.96 www.mydomain.dk
GET /default.ida?XX..
8-0 1434 0/7/7 _ 0.02 8319 225 0.0 0.00 0.00 80.62.87.62 www.mydomain.dk
GET /default.ida?XX..
9-0 1435 0/7/7 _ 0.02 6858 259 0.0 0.00 0.00 80.62.87.62 www.mydomain.dk
GET /default.ida?XX..
10-0 - 0/0/1 . 0.00 36519 637 0.0 0.00 0.000 80.62.47.227 www.mydomain.dk
GET /default.ida?XX..

Det er da et par TDC IP'ere

MVH/ Niels Bachmann


--
"Mandrake.... Have you ever seen a 'commie drink a glass of water?"

http://www.precious.dk

---

"Niels Bachmann" <precious@precious.dk> skrev i en meddelelse
news:9qrf7.5660

> Det er da et par TDC IP'ere

sådan er det at være TDC kunde - CodeRed scanner mest på sit /16 IP-net, og
derfor er det mest IP'er der ligner din egen der scanner dig - jeg har
f.eks. masssser af Tiscali kunder på min liste, faktisk er nummer 1 en
sådan, den har været forbi 40+ gange
Du kan se min statistik her: http://susie.dk/coderedworm.html


--
|-|$235-|)k - Mickey
Følg CodeRedWorm's aktivitet : http://susie.dk/coderedworm.html
"'Tilfældet' er måske det pseudonym, Gud bruger, når Han ikke vil signere
sit værk."
- Anatole France

---

Mickey vreettee in meeseaagjee <9llgo8$39n$1@egon.worldonline.dk>:

[...]

> sådan er det at være TDC kunde - CodeRed scanner mest på sit /16 IP-net,
> og derfor er det mest IP'er der ligner din egen der scanner dig - jeg har

Hos mig siger Niels' indlægs header fl.g.:
Posting-Host: 213.237.83.62
Det ligner mere en Tiscali adresse.
mydomain.dk resolver til 194.234.11.253 og det er da vist heller ikke inden
for samme /16 (subnet 255.255.0.0) så hvordan kommer du frem til at han er
TDC-kunde?

Code Red II (default.ida?XX...) spreder sig på følgende måde:

Subnet 0.0.0.0 ( /0 ) : 12,5 % chance
Subnet 255.0.0.0 ( /8 ) : 50 % chance
Subnet 255.255.0.0 ( /16 ) : 37,5 % chance

Områderne 127.*.*.* og 224.*.*.* er undtaget, og ipadresser der indeholder
000 eller 255 er lige ledes undtaget.

Code Red I (default.ida?NN...) spredte sig bare tilfældigt men undgik
127.*.*.*

Som en personlig note kan tilføjes at ud af mine 1088 kommer knap 400 fra
Tiscali kunder.
Desuden er det her vist mere sikkerhed end unix så derfor:
FUT dk.edb.sikkerhed

[...]

> |-|$235-|)k - Mickey

--
` Med Venlig Hilsen | Regards
` H e n r i k B ø g h
` http://henrik.boegh.net/ ^ http://irc.linux.dk/
` - Don't trust a person who likes using SLRN

---

Den Sun, 19 Aug 2001 14:06:37 +0200 skrev Henrik Bøgh:
>
>Områderne 127.*.*.* og 224.*.*.* er undtaget, og ipadresser der indeholder
>000 eller 255 er lige ledes undtaget.

Dvs. at hvis man vil undgå Code Red II, skal man bare bruge et ip-nr.
der ender på 255?

Mvh
Kent
--
If I wanted a blue screen, I would type "xsetroot -solid blue"
- not D:\WINNT\SETUP

---

On Sun, 19 Aug 2001 13:13:18 +0000 (UTC), kfr@fleggaard.dk (Kent
Friis) wrote:

>Dvs. at hvis man vil undgå Code Red II, skal man bare bruge et ip-nr.
>der ender på 255?

Nu er det vel de færreste, der lige har deres egen /23, så de selv kan
gøre dette...

--
- Peter Brodersen

---

"Kent Friis" <kfr@fleggaard.dk> skrev i en meddelelse
news:9loe1e$kj3$1@sunsite.dk...

> Dvs. at hvis man vil undgå Code Red II, skal man bare bruge et ip-nr.
> der ender på 255?

smartere:
1. lad være at bruge en MS ISS server
eller:
2. patch din MS ISS server


--
|-|$235-|)k - Mickey
Følg CodeRedWorm's aktivitet : http://susie.dk/coderedworm.html
"'Tilfældet' er måske det pseudonym, Gud bruger, når Han ikke vil signere
sit værk."
- Anatole France

---

Kent Friis vreettee in meeseaagjee <9loe1e$kj3$1@sunsite.dk>:

[...]

> Dvs. at hvis man vil undgå Code Red II, skal man bare bruge et ip-nr.
> der ender på 255?

Ja - ifølge UnixWiz ( http://www.unixwiz.net/techtips/CodeRedII.html ).
Jeg har heller ikke noget i mine logfiler der bekræfter at dette skulle
være usandt.

> Kent

--
` Med Venlig Hilsen | Regards
` H e n r i k B ø g h
` http://henrik.boegh.net/ ^ http://irc.linux.dk/
` - Don't trust a person who likes using SLRN

---

"Henrik Bøgh" <h_nospam_@boegh.net> skrev i en meddelelse

> Hos mig siger Niels' indlægs header fl.g.:
> Posting-Host: 213.237.83.62
> Det ligner mere en Tiscali adresse.

tjaa, tog det bare ud fra at det var TDC ip'er han snakkede om ;)

> mydomain.dk resolver til 194.234.11.253 og det er da vist heller ikke
inden
> for samme /16 (subnet 255.255.0.0) så hvordan kommer du frem til at han er
> TDC-kunde?

www.mydomain.dk er ejet af en Dennis Wiberg-Jørgensen så...

> Code Red II (default.ida?XX...) spreder sig på følgende måde:


det var vist ikke lige helt den måde jeg havde fået det at vide...


--
|-|$235-|)k - Mickey
Følg CodeRedWorm's aktivitet : http://susie.dk/coderedworm.html
"'Tilfældet' er måske det pseudonym, Gud bruger, når Han ikke vil signere
sit værk."
- Anatole France

---

Mickey vreettee in meeseaagjee <9loisc$4db$1@egon.worldonline.dk>:

[...]

> www.mydomain.dk er ejet af en Dennis Wiberg-Jørgensen så...

Ja - det siger min whois sjovt nok også.
Hvad har det egentlig med sagent at gøre?

[...]

> det var vist ikke lige helt den måde jeg havde fået det at vide...

Nåeh. Hvordan går det da?

--
` Med Venlig Hilsen | Regards
` H e n r i k B ø g h
` http://henrik.boegh.net/ ^ http://irc.linux.dk/
` - Don't trust a person who likes using SLRN

---

"Henrik Bøgh" <h_nospam_@boegh.net> skrev i en meddelelse

> Ja - det siger min whois sjovt nok også.
> Hvad har det egentlig med sagent at gøre?

fordi det indlæg der startede det hele nævnte www.mydomain.dk ...

> > det var vist ikke lige helt den måde jeg havde fået det at vide...
>
> Nåeh. Hvordan går det da?

fin fin...


--
|-|$235-|)k - Mickey
Følg CodeRedWorm's aktivitet : http://susie.dk/coderedworm.html
"'Tilfældet' er måske det pseudonym, Gud bruger, når Han ikke vil signere
sit værk."
- Anatole France

---

Mickey vreettee in meeseaagjee <9lokka$59u$1@egon.worldonline.dk>:

[...]

> fin fin...

Det jeg mente (meget svagt formuleret godt nok) var hvordan går din version
af historien om hvordan Code Red spreder sig?

> |-|$235-|)k - Mickey

--
` Med Venlig Hilsen | Regards
` H e n r i k B ø g h
` http://henrik.boegh.net/ ^ http://irc.linux.dk/
` - Don't trust a person who likes using SLRN