Einige Beobachtungen zum Code Red Wurm

Graph: Blockierte Zugriffe auf Port 80 pro Stunde (2001-07-31 ... 2001-08-13)

Vom Firewall blockierte Zugriffe auf Port 80 eines Rechners im WSR-Netz pro Stunde. Die Frequenz stieg am 1. August innerhalb weniger Stunden von fast 0 auf 15000 an. Ab dem 2. August fällt sie wieder fast linear. Vermutlich dadurch, daß infizierte Server entdeckt und gepatcht oder zumindest vom Netz genommen werden. Interessant ist, daß es jeweils um ca. Mitternacht zu einem Minimum kommt. Wodurch? Heute am 13. ist wieder eine deutliche Zunahme zu verzeichnen - eine neue Version?

Die negative Spitze am 4. August stammt von einer Stromabschaltung wegen Wartungsarbeiten, die positive am 12. wurde von einer einzelnen Source-IP-Adresse verursacht. Ich vermute, daß das ein "normaler" Scan war, der nichts mit Code Red zu tun hat.

Graph: Blockierte Zugriffe auf Port 80 pro Stunde (2001-08-12 ... 2001-08-19)

Update: Die Zugriffe gehen weiter zurück. Interessant ist der plötzliche Abfall am 16.8. Da dürfte wohl eine größeren Wurmschleudern geschlossen worden sein - ja, 143.248.0.0/24 (Korea Institute of Technology) ist verschwunden.

Graph: Blockierte Zugriffe auf Port 80 pro Stunde (2001-09-20 ... 2001-10-11)

Ablaufdatum? Mit 1.10. nahm die Zahl der blockierten Zugriffe schlagartig ab und ist nun wieder fast am Niveau vor Wurm-Zeiten.