Hi,
der Remote Procedure Call (RPC) und der DCOM-Dienst Port 135 stehen häufig im Mittelpunkt von unerwünschten Zugriffen via Internet.
Es folgen 2 Erscheinungsformen, die die Öffentlichkeit alarmieren:
1. Spammer senden Winpopup-Belästigungen mit Hilfe des RCP-Dienstes, so dass der NACHRICHTENDIENST (Reizwort würg!) Unerwünschtes anzeigt.
2. Ist der RPC-Patch nicht installiert, wird über RPC der W32-Blast-Wurm eingeschleust. Nach dem Neustart wird automatisch msblast.exe gestartet, es erscheint ein NT-AUTORITÄTS- Fenster und der Computer wird nach ein paar Sekunden runtergefahren.
Bei Privatleuten ist es nicht verwunderlich, dass Windows insbesondere der RPC-Dienst sich häufig nicht auf den neuesten Update- bzw. Patch- Stand befindet. Updates über das Internet dauern lange besonders in dem Fall, wenn man ein analoges Modem hat. Und Zeit ist im wahrsten Sinne des Wortes Geld.
Cool kann man bei solchen Aktionen bleiben, wenn man verhindert hat, dass solche unerwünschten RCP- und Internet- Pakete in das System gelangen können. Bevor der eigentliche Angriff erfolgt, wird erst einmal ein IP-Scan auf der Grundlage von Pings durchgeführt. Der Angreifer muss erstmal feststellen, welche Internet IP- Nummern online sind. Danach erfolgt die eigentliche (z.B. RCP-) Attacke auf die online festgestellten Computer im Internet.
Einfach jedoch wirkungsvoll ist die Lösung, einen Firewalldienst einzurichten, der beim Ping-Sender "Zeitüberschreitung der Anforderung" erscheinen lässt, genauso als wenn der Computer nicht online wäre. Das bewirken sogenannte ICMP- Protokoll- Einstellungen, die man bei bestimmten Firewalldiensten vornehmen kann. Der eigentliche Angriff wird verhindert, weil der Angreifer fälschlicherweise davon ausgeht, dass der Zielcomputer nicht online ist.
Wer von meinen betreuten Computeranwendern glaubte, dass man nur den NACHRICHTENDIENST deaktivieren braucht, um keine lästige Nachrichten zu erhalten, hatte im Fall des Nicht-Uptodate-Seins des Systems NATÜRLICH ein wunderliches NT-AUTORITÄTS-Fenster-W32.Blaster-Erlebnis. Leute, die einen Firwalldienst mit ICMP-Ping-Einstellungen verwenden, haben keine diesbezüglichen Schwierigkeiten und können sich jetzt in Ruhe überlegen, ob sie den Nachrichtendienst deaktivieren und den RCP-Patch reinziehen oder eben nicht.
Bei Windows XP ist diese Firewalleinstellung beispielsweise sehr leicht zu realisieren:
Rechtsklick auf die DFÜ- oder Breitband- Verbindung > Erweitert > Haken oben bei Firewall setzen.
Bei Windows NT, W2000 und anderen Windows- Versionen kann man beispielsweise Look n Stop Lite (googeln!) als Dienst einrichten.
Eine Firewall ist in dem Fall nicht nur im wahrsten Sinne des Wortes hot.
Gruß Teletom
BIMEX
