Allgemeines 21.970 Themen, 148.291 Beiträge

Verfolgung starten Optionen

Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall

Teletom / 30 Antworten / Flachansicht Nickles

Hi,

der Remote Procedure Call (RPC) und der DCOM-Dienst Port 135 stehen häufig im Mittelpunkt von unerwünschten Zugriffen via Internet.

Es folgen 2 Erscheinungsformen, die die Öffentlichkeit alarmieren:

1. Spammer senden Winpopup-Belästigungen mit Hilfe des RCP-Dienstes, so dass der NACHRICHTENDIENST (Reizwort würg!) Unerwünschtes anzeigt.

2. Ist der RPC-Patch nicht installiert, wird über RPC der W32-Blast-Wurm eingeschleust. Nach dem Neustart wird automatisch msblast.exe gestartet, es erscheint ein NT-AUTORITÄTS- Fenster und der Computer wird nach ein paar Sekunden runtergefahren.

Bei Privatleuten ist es nicht verwunderlich, dass Windows insbesondere der RPC-Dienst sich häufig nicht auf den neuesten Update- bzw. Patch- Stand befindet. Updates über das Internet dauern lange besonders in dem Fall, wenn man ein analoges Modem hat. Und Zeit ist im wahrsten Sinne des Wortes Geld.

Cool kann man bei solchen Aktionen bleiben, wenn man verhindert hat, dass solche unerwünschten RCP- und Internet- Pakete in das System gelangen können. Bevor der eigentliche Angriff erfolgt, wird erst einmal ein IP-Scan auf der Grundlage von Pings durchgeführt. Der Angreifer muss erstmal feststellen, welche Internet IP- Nummern online sind. Danach erfolgt die eigentliche (z.B. RCP-) Attacke auf die online festgestellten Computer im Internet.

Einfach jedoch wirkungsvoll ist die Lösung, einen Firewalldienst einzurichten, der beim Ping-Sender "Zeitüberschreitung der Anforderung" erscheinen lässt, genauso als wenn der Computer nicht online wäre. Das bewirken sogenannte ICMP- Protokoll- Einstellungen, die man bei bestimmten Firewalldiensten vornehmen kann. Der eigentliche Angriff wird verhindert, weil der Angreifer fälschlicherweise davon ausgeht, dass der Zielcomputer nicht online ist.

Wer von meinen betreuten Computeranwendern glaubte, dass man nur den NACHRICHTENDIENST deaktivieren braucht, um keine lästige Nachrichten zu erhalten, hatte im Fall des Nicht-Uptodate-Seins des Systems NATÜRLICH ein wunderliches NT-AUTORITÄTS-Fenster-W32.Blaster-Erlebnis. Leute, die einen Firwalldienst mit ICMP-Ping-Einstellungen verwenden, haben keine diesbezüglichen Schwierigkeiten und können sich jetzt in Ruhe überlegen, ob sie den Nachrichtendienst deaktivieren und den RCP-Patch reinziehen oder eben nicht.

Bei Windows XP ist diese Firewalleinstellung beispielsweise sehr leicht zu realisieren:
Rechtsklick auf die DFÜ- oder Breitband- Verbindung > Erweitert > Haken oben bei Firewall setzen.

Bei Windows NT, W2000 und anderen Windows- Versionen kann man beispielsweise Look n Stop Lite (googeln!) als Dienst einrichten.

Eine Firewall ist in dem Fall nicht nur im wahrsten Sinne des Wortes hot.

Gruß Teletom

bei Antwort benachrichtigen
Hi Teletom! Eins ist mir an dieser ganzen MSBlast-Geschichte unklar, um ... Olaf19
@Olaf19 - King-Heinz hat heute internetterweise wie folgt gepostet: Quote ... BIMEX
Hi Bimex, das ist ja alles schön und gut - aber damit ist meine Frage in ... Olaf19
@Olaf19 - sobald Du im Internet bist und über Port 135 angreifbar bist ... BIMEX
@Olaf19 - noch vergessen, meine Firewall Agnitum Outpost meldet derzeit eine ... BIMEX
Olaf19 - Das Programm MSBLAST.exe kommt Dir automatisch aufs System, wenn Du ... BIMEX
Die von mir derzeit gemessene Frequenz für Port 135 Angriffe Zombie Proggi ... Olaf19
@Olaf19 - Der Patch von M für RPC Loch ist das Dilemma, der Angreifer ... BIMEX
@Olaf19 - noch vergessen zu beantworten, angesichts der Tatsache, dass M ... BIMEX
Und zu guter letzt...- sehe gerade, dass sich das Zombie Proggi unter ... BIMEX
Hallo, geiler Meinungsaustausch, wenn mir die Bemerkung gestattet sei kann ... Teletom
Hallöle mal ne andere Frage, was passiert eigentlich wenn Wir den Wurm ... Tromain
Ich bin prinzipiell gegen Angriffe. Die oben dargestellten ICMP-Firewall- ... Teletom
sorry - da muss ich wiedersprechen thomas woelfer
sorry - da muss ich wiedersprechen Teletom
thomas woelfer Teletom „sorry - da muss ich wiedersprechen“
Optionen

naja: das ding mutiert. ganz gleichgueltig ob heute vorher ein ping gemacht wird oder nicht: das bedeutet nicht das das morgen bei der naechsten variante auch noch der fall ist. maw: icmp dichtmachen aber port nicht bringt nix.

geeignete scanner wie z.b. nmap scannen beispielsweise auf wunsch auch ohne icmp - m.a. nach ist das blocken von icmp einfach nur eine methode script-kiddies draussen zu lassen weil die sich von sowas einfachem vielleicht entmutigen lassen. wenn die sich dann durch geblockte ports dazu ermutigt fuehlen weitere angriffe zu versuchen (um dann festzustellen das eben die anderen ports auch zu sind): bitte sehr, sollen sie, tut ja nicht weg. damit will ich nicht sagen das man icmp _nicht_ zumachen sollte - da spricht nichts dagegen. es ist nur einfach nicht ausreichend.

ich will mich hier aber nicht auf eine grundsatzdiskussion der marke 'ports blocken oder nicht' einlassen - da sind wir offensichtlich unterschiedlicher meinung.

trotzdem halte ich es fuer notwendig darauf hinzuweisen das die einzige methode sich vor fehlern in irgendwelchen diensten (ganz gleich auf welchem betriebssystem) darin besteht den dienst erst gar nicht nach aussen zur verfügung zu stellen. und das ist nunmal am einfachsten indem man alle ports die man nicht braucht dicht macht. (meinetwegen kann man statt geblockter ports auch paketfilter nehmen, laeuft im prinzip auf das gleiche hinaus.)

auf privatenrechnern die keine gameserver oder aehliches hosten bedeutet das: alle ports zu- dann gibst auch keine problem mit diensten die fehlerhaft oder per definition gefaerhlich sind. (z.b. offenes sendmail bei linux, offenes smb bei windows)

auf 'server' rechnern bedeutet das: keine ports die man nicht braucht, also auf einem webserver eben nur port 80.

blocken von icmp ist kein schutz sondern nur eine verschleierung - die aber nichts bringt wenn die gegenseite hartnaeckig ist oder der rechner eh kennt. (z.b.: was sollte es bringen icmp auf nickles.de zu unterbinden wenn eh jedermann weiss das es nickles.de gibt und welche ip-adresse(n) es verwendet?).

soweit es mich betrifft: EOD

WM_MY0.02$

this posting contains no tpyos.
bei Antwort benachrichtigen
sorry - da muss ich wiedersprechen Teletom
sorry - da muss ich wiedersprechen thomas woelfer
sorry - da muss ich wiedersprechen Teletom
sorry - da muss ich wiedersprechen basil
sorry - da muss ich wiedersprechen Teletom
@Beichtvater Teletom :-) Olaf19
@Beichtvater Teletom :-) Teletom
Ports freigeben Olaf19
Ports freigeben Teletom
Ports freigeben Olaf19
ich grüße alle wo gibt es information, wie dieser fehler bei rpc ... oleg2
Hi, nichts genaues, weiß man nicht , kann mir nur Folgendes vorstellen: ... Teletom
Ich empfehle Dir eine dringende Studie was Programmierung und ... basil
Ich bedanke mich für die Empfehlung. Kann jedoch beim besten Willen keinen ... Teletom