Ergebnis 1 bis 8 von 8

Thema: neuer wurm?

  1. #1
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard neuer wurm?

    in den letzten tagen taucht vermehrt so etwas in den logs auf..

    Feb 17 11:47:02 megarausch portsentry[4870]: attackalert: TCP SYN/Normal scan from host: bel60-1-82-233-58-149.fbx.proxad.net/82.233.58.149 to TCP port: 445
    Feb 17 11:47:02 megarausch portsentry[4870]: attackalert: Host 82.233.58.149 has been blocked via wrappers with string: "ALL: 82.233.58.149"
    Feb 17 11:47:02 megarausch portsentry[4870]: attackalert: Host 82.233.58.149 has been blocked via dropped route using command: "/sbin/route add -host 82.233.58.149 gw 333.444.555.666"
    Feb 17 11:47:02 megarausch portsentry[4870]: attackalert: TCP SYN/Normal scan from host: bel60-1-82-233-58-149.fbx.proxad.net/82.233.58.149 to TCP port: 445
    Feb 17 11:47:02 megarausch portsentry[4870]: attackalert: Host: bel60-1-82-233-58-149.fbx.proxad.net/82.233.58.149 is already blocked Ignoring
    Feb 17 11:47:03 megarausch portsentry[4870]: attackalert: TCP SYN/Normal scan from host: bel60-1-82-233-58-149.fbx.proxad.net/82.233.58.149 to TCP port: 445
    Feb 17 11:47:03 megarausch portsentry[4870]: attackalert: Host: bel60-1-82-233-58-149.fbx.proxad.net/82.233.58.149 is already blocked Ignoring
    Feb 17 11:49:28 megarausch portsentry[4870]: attackalert: TCP SYN/Normal scan from host: 81.13.149.123/81.13.149.123 to TCP port: 445
    Feb 17 11:49:28 megarausch portsentry[4870]: attackalert: Host 81.13.149.123 has been blocked via wrappers with string: "ALL: 81.13.149.123"
    Feb 17 11:49:28 megarausch portsentry[4870]: attackalert: Host 81.13.149.123 has been blocked via dropped route using command: "/sbin/route add -host 81.13.149.123 gw 333.444.555.666"
    Feb 17 11:49:28 megarausch portsentry[4870]: attackalert: TCP SYN/Normal scan from host: 81.13.149.123/81.13.149.123 to TCP port: 445
    Feb 17 11:49:28 megarausch portsentry[4870]: attackalert: Host: 81.13.149.123/81.13.149.123 is already blocked Ignoring
    Feb 17 11:49:28 megarausch portsentry[4870]: attackalert: TCP SYN/Normal scan from host: 81.13.149.123/81.13.149.123 to TCP port: 445
    Feb 17 11:49:28 megarausch portsentry[4870]: attackalert: Host: 81.13.149.123/81.13.149.123 is already blocked Ignoring
    megarausch ist gottseidank kein windows-rechner und braucht keine datei- und druckerfreigabe. das letzte mal, als ich so etwas gesehen habe, war gerade der sasser-wurm sehr aktiv.
    da ich das auf mehreren servern beobachte, liegt der verdacht nahe, dass da etwas im gange ist.
    passt auf eure rechner auf, bitte und haltet die antiviren-software aktuell..
    Quod non est in litteris, non est in munde.

  2. #2
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.328

    Standard

    Für was ist der Port 4780 überhaupt? Die Win-Datei/Druckerfreigabe hat nach meiner Info die 137 und 138 für UDP sowie die Ports 139 und 445 für TCP.

    Zu Port 4780 finde ich nirgends was.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  3. #3
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    du mienst die nummer die hinter portsentry steht? das ist nicht der port..das ist die laufende nummer der attacke..
    Quod non est in litteris, non est in munde.

  4. #4
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.328

    Standard

    Ach so, jetzt seh ichs. Versucht wirds auf 445.

    Besonders bei alten Windows-98-Systemen war die Datei- und Druckerfreigabe immer schon ein beliebtes Einfallstor.

    Wenn man dort in Win98 "Dateien und Drucker für andere Netzwerkteilnehmer freigibt", sind sie dann leider auch über das Internet im ganzen Globus freigegeben, ohne dass man es weiß.
    Das war immer schon ein beliebtes Hackerspielzeug.

    Microsoft hatte immer schon eine hohe Kompetenz in Netzwerksicherheit.

    Mit Win2000 wurde diese Lücke aber m.W. geschlossen.
    Leider geben aber viele Teilnehmer an Tauschplattformen diese Ports wieder global frei. Wenn man das nicht macht, funktionieren die meisten Tauschplattformen nicht.

    Eine Firewall schützt dann nur vermeintlich. Weil man ja für die Teilnahme an den Tauschplattformen sinnigerweise eine Ausnahmeregel in die Firewall geklickert hatte, sind jetzt die Ports auf solchen Rechnern vermutlich wieder global freigegeben.

    Vielleicht haben wir hier eine systematische Attacke, wo ein Haustierchen sich gezielt über diese Ports einnisten will.

    Bevorzugt vermutlich bei Win98-Rechnern mit Netzwerkfreigabe bzw. bei Win2000-/XP-Rechnern, die an Tauschplattformen teilnehmen.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  5. #5
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    es könnte sich ja auch um microsofts "good-worm-vs-bad-worm-projekt" handeln

    aber da bin ich eher skeptisch..ich nehme mal an, dass der sasser inzwischen aus den signaturen verschwunden ist und nun ein revival erlebt..
    Quod non est in litteris, non est in munde.

  6. #6
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    mit jeder mail von logcheck wird die liste der ips länger..das ding verbreitet sich anscheinend rasend schnell..
    Quod non est in litteris, non est in munde.

  7. #7
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.328

    Standard

    isc.sans.org hat offenbar noch nichts dazu.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  8. #8
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    http://isc.sans.org/port.html?port=445

    Die Kommentare sind durchaus interessant..

    btw.. Man kann seinen Rechner auf dieser Seite einem Portscan unterziehen, um zu sehen, welche Ports offen sind.
    Geändert von actro (07.03.2008 um 08:54 Uhr)
    Quod non est in litteris, non est in munde.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen