Interessant an der Geschichte, die seit nunmehr fast vier Tagen andauert ist, wenn Administratoren eine Quell-IP-Adresse blockieren, gehen die Scans sofort von einer anderen Adresse aus.
Die Betreiber der Webseite haben mittlerweile Beispiel-Logs bekommen. Diese würden fast sicher bestätigen, dass ein Botnetz hinter den Scans steckt. Ein Leser hat darauf aufmerksam gemacht, dass die Scans bei ihm http://www.snort.org/search/sid/12709?r=1 ausgelöst werden. Dies sei ein Remote Exploit für Microsoft ASN.1 oder CVE-2005-1935 (auch Kill Bill genannt). SANS will die Augen weiter offen halten und die Anwender bei Neuigkeiten informieren. (jdo)