nicht angemeldet
Rechner neu aufgesetzt - schwupps, msblast.exe eingefangen
guten Abend Forum,
heute ist mir was passiert, was mich mehrere Stunden Fuzzelei gekostet hat: ich hab bei einem Bekannten nach "format C:" ein funkelnagelneues WindwosXP mit SP1 aufgespielt, hatte auch meine CD mit den Sicherheitspatches von Microsoft (Stand ca. 25. September) dabei und hab die natürlich alle gefahren, ehe der "neue" Rechner das erstemal online ging.
Plauz ... es dauerte keine drei Minuten, schon war msblast.exe im System. Das wiederholte sich zweimal, jeweils nach gründlicher Säuberung und Drüberlaufenlassen des Symantec-Tools "Fixmsblast".
Ärgerlich ist, daß das Ding einem ja keine Zeit läßt, die tagesaktuellen Updates von MS zu ziehen.
Meine Frage nun: _eigentlich_ hätte sich das Teil doch Ende September nach dem letzten Endes mißglückten Angriff auf Microsoft in Nichts auflösen sollen. Hat es offenbar nicht. Wieso (auf dem Rechner, den ich "plattgemacht" und neu aufgesetzt habe, war msblast nie voher drauf)?
Ich bin schließlich erst mit einer rigorosen Sperre sämtlicher ports (bis auf 80) in der Lage gewesen, die tagesaktuellen patches von Microsoft zu ziehen. Zweite Frage: ich hatte nicht erwartet, daß über port 80 und HTTP das Windows-Update gezogen werden kann (immerhin rund 60 MB, wenn man sich alle patches holt). Weiß jemand, was Microsoft da angestellt hat (UDP war als Protokoll gesperrt, tftp.exe umbenannt usw. - eigentlich konnte nur noch HTTP als Übertragungsprotokoll in Frage kommen).
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
Hi,
Zweite Frage: ich hatte nicht erwartet, daß über port 80 und HTTP das Windows-Update gezogen werden kann (immerhin rund 60 MB, wenn man sich alle patches holt). Weiß jemand, was Microsoft da angestellt hat (UDP war als Protokoll gesperrt, tftp.exe umbenannt usw. - eigentlich konnte nur noch HTTP als Übertragungsprotokoll in Frage kommen).
Wieso sollte nur noch http in Frage kommen? Prinzipiell kann jedes Protokoll über jeden beliebigen Port benutzt werden, auch über andere als die jeweiligen default-Ports...
Aber auch über http ist es möglich, große Datenmengen zu übertragen. http sieht keine Obergrenzen für content-length vor, wenn ich mich richtig erinnere.
cu,
Andreas--
Der Optimist: Das Glas ist halbvoll. - Der Pessimist: Das Glas ist halbleer. - Der Ingenieur: Das Glas ist doppelt so groß wie nötig.
http://mud-guard.de/? http://www.andreas-waechter.de/ http://www.helpers.de/-
Aber auch über http ist es möglich, große Datenmengen zu übertragen. http sieht keine Obergrenzen für content-length vor, wenn ich mich richtig erinnere.
Aber bei extrem großen Daten dauert es megalange, bis die drüben sind, und wenn du sie z.B. mit PHP bearbeiten willst, gibts probleme....
Naja, was gibts denn sonst noch für Protokolle außer FTP, die sich gut fürs Datenübertragen eignen ?
benji
--
Soy el pequeño benji :)-
Hi,
Aber auch über http ist es möglich, große Datenmengen zu übertragen. http sieht keine Obergrenzen für content-length vor, wenn ich mich richtig erinnere.
Aber bei extrem großen Daten dauert es megalange, bis die drüben sind, und wenn du sie z.B. mit PHP bearbeiten willst, gibts probleme....Das liegt aber nur daran, daß PHP-Scripte normalerweise begrenzte Laufzeit haben. Und von PHP war hier in diesem Szenario ja überhaupt nicht die Rede.
Und ob Du ftp oder http zur Datenübertragung nutzt, hat fast keinen Einfluß auf die Übertragungsdauer...
cu,
Andreas--
Der Optimist: Das Glas ist halbvoll. - Der Pessimist: Das Glas ist halbleer. - Der Ingenieur: Das Glas ist doppelt so groß wie nötig.
http://mud-guard.de/? http://www.andreas-waechter.de/ http://www.helpers.de/-
HAllo MudGuard !
Das liegt aber nur daran, daß PHP-Scripte normalerweise begrenzte Laufzeit haben. Und von PHP war hier in diesem Szenario ja überhaupt nicht die Rede.
Das weiß ich alles auch .... - aber upload auf server bedeutet ja auch verarbeitung, und falls man nicht gerade ein wahnsinniges cgi-programm angeschlossen hat, rate ich von http-uploaden lieber ab... (s.u.)
Und ob Du ftp oder http zur Datenübertragung nutzt, hat fast keinen Einfluß auf die Übertragungsdauer...
Tja, komisch, denn (mein virtueller server im LAN) bei mir dauert ein upload von anderem Rechner auf meinen per http länger als per FTP. Kann aber auch daran liegen, dass der dumme IE irgendwie ewig dafür braucht, bei Opera gehts sehr schnell...
cyou ;-)
benji
--
Soy el pequeño benji :)
-
-
-
-
Hallo,
du musst einfach die Console öffnen und "shutdown -a" eingeben wenn das Fenster mit "noch 60 sec. bis wir alle sterben..." kommt dann kommt es bis zum nächsten neustart nicht mehr !!!
samy,
-
Moin,
Plauz ... es dauerte keine drei Minuten, schon war msblast.exe im System. Das wiederholte sich zweimal, jeweils nach gründlicher Säuberung und Drüberlaufenlassen des Symantec-Tools "Fixmsblast".
Falsche Antwort. Das System war kompromittiert. Da du nicht mit Sicherheit sagen kannst, welche Abart von Blaster du dir gefangen hast oder ob inzwischen noch weitere Veränderungen am System (z.B. Sekundärinfektionen) vorgenommen wurden ist die einzige korrekte Vorgehensweise das Neuaufsetzen des Systems. Auch und grade "fixmsblast" kann nicht hellsehen und eine Modifikation der Systemdateien erkennen.
Ärgerlich ist, daß das Ding einem ja keine Zeit läßt, die tagesaktuellen Updates von MS zu ziehen.
Wieso konfigurierst du nicht einfach den Rechner richtig? Es ist in der Regel genau gar kein Problem den Port 135 vom Internetinterface zu entbinden. Kurzfassung: dcomcnfg.exe -> Eigenschaften von Arbeitsplatz -> "[ ] DCOM aktivieren", Standardprotokolle: Alles abschalten; Taskplaner beenden; System neu starten; mit netstat -aon auf Erfolg überprüfen. Langfassung (mit einigem anderen mehr): http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
hallo Henryk,
Wieso konfigurierst du nicht einfach den Rechner richtig? Es ist in der Regel genau gar kein Problem den Port 135 vom Internetinterface zu entbinden.
Richtig, und genau das hatte ich auch gemacht. Es hat bloß nix genutzt, zu meiner großen Verwunderung.
Bei mir zuhause habe ich das Problem nicht mehr, dahr hatte ich mich in den letzten zwei Wochen nicht mehr darum gekümmert. Mich hat am meisten gewundert, daß das Ding so schnell wieder da war, ich dachte, es wäre inzwischen aus dem Netz verschwunden.
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Servus,
1. haben noch einige nicht erkannt, dass Sie vom blaster befallen wurden. (Die die gaaaanz selten ins Netz gehen)
2. Habe viele noch nicht alle Rechner ausreichend geschützt.
3. Gab es mehrere Varianten des Blasters.
4. Gibt es immer noch Leute, die den Blaster gut und gerne verbreiten...wozu auch immer.Gruss Matze
-
Moin!
Wieso konfigurierst du nicht einfach den Rechner richtig? Es ist in der Regel genau gar kein Problem den Port 135 vom Internetinterface zu entbinden.
Richtig, und genau das hatte ich auch gemacht. Es hat bloß nix genutzt, zu meiner großen Verwunderung.Gibts da nicht noch einen 400er-Port, der dasselbe macht?
Mal ganz grundsätzlich: Ein Client-Rechner hat _keinerlei_ offene Ports zu haben. Wenn netstat also irgendwelche offenen Ports an 0.0.0.0 ausgibt, ist man angreifbar. Dagegen kann man sich dann entweder Firewall schützen (extern auf dem Router: Ganz ok - intern auf dem eigenen PC per Personal Firewall: Ganz schlecht[1]), oder man macht den Port dicht (die absolut beste Methode, auch gegen Infektionen aus dem eigenen Netzwerk von anderen Rechnern).
[1] Personal Firewalls sind nicht sofort beim Systemstart geladen, und können durch dir dümmsten Zufälle (oder den Benutzer) ausgeschaltet werden. Dann ist das System plötzlich nicht mehr geschützt und fängt sich sofort einen neuen Blaster ein - oder schlimmeres.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|-
hallo Sven,
Gibts da nicht noch einen 400er-Port, der dasselbe macht?
445 ist das, glaube ich.
Mal ganz grundsätzlich: Ein Client-Rechner hat _keinerlei_ offene Ports zu haben. Wenn netstat also irgendwelche offenen Ports an 0.0.0.0 ausgibt, ist man angreifbar.
Du hast ja recht. Ich war mir bloß nicht sicher, wie weit die Microsoft-Seite, von der man sich die aktuellen patches holen kann, noch andere ports braucht (jetzt weiß ich, daß sie keine braucht) und war, _nachdem_ ich meine rund 14 Tage alte Kollektion von patches aufgespielt hatte, als allererstes dorthin gegangen, um nachzusehen, ob es noch irgendwelche aktuelleren patches gibt - und genau dabei ist es dann passiert. Ok, der Rechner ist inzwischen "sauber", hab ihn halt nochmal neu aufgesetzt.
Ich hatte bloß gedacht, msblast.exe wäre nicht mehr aktiv und war darauf nun nicht mehr gefaßt.
[1] Personal Firewalls sind nicht sofort beim Systemstart geladen
Ich halte das Ding, das WinXP von sich aus mitbringt, eh nicht für praktikabel.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:| -
Moin,
Gibts da nicht noch einen 400er-Port, der dasselbe macht?
Ja, die Lücke lässt sich auch noch über 445 (Direct SMB), 80 (IIS mit RPC oder CIS over HTTP) und das Netbios-Gezeugs ausnutzen, Blaster verwendet soweit ich weiss aber nur 135. Der IIS dürfte eh auf keinem Endbenutzersystem installiert sein und Direct SMB und Netbios verschwinden zusammen mit dem Client und der Datei- und Druckerfreigabe für Microsoft-Netze (oder wie immer das heute heisst). Siehe MS03-039.
Mal ganz grundsätzlich: Ein Client-Rechner hat _keinerlei_ offene Ports zu haben.
Ack.
Wenn netstat also irgendwelche offenen Ports an 0.0.0.0 ausgibt, ist man angreifbar.
Jein. Netstat hat in allen neueren Windows-Systemen einen Bug und zeigt den lokalen Port von vom Rechner aufgebauten Verbindungen nocheinmal zusätzlich als Listening an. Am besten verwendet man andere Software wie tcpview von sysinternals.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
-
-
Moin,
Wieso konfigurierst du nicht einfach den Rechner richtig? Es ist in der Regel genau gar kein Problem den Port 135 vom Internetinterface zu entbinden.
Richtig, und genau das hatte ich auch gemacht. Es hat bloß nix genutzt, zu meiner großen Verwunderung.Deswegen sollte man immer noch mal mit netstat -aon nach einem Neustart kontrollieren. Es gibt neben dem Taskplaner noch andere merkbefreite Software die 135 wieder aufmacht. Anzubieten hätte ich da zum Beispiel einen Lexmark-Druckertreiber (der zu allem Überfluss auf dem Rechner vorinstalliert war) oder - wie kürzlich in de.comp.security.misc zu lesen war - McAfee Virus Scan.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
-
-
-
Hallo,
Meine Frage nun: _eigentlich_ hätte sich das Teil doch Ende
September nach dem letzten Endes mißglückten Angriff auf Microsoft
in Nichts auflösen sollen. Hat es offenbar nicht.Soweit ich es verstanden habe, sollte der Wurm nach diesem Datum keinen "Schaden" mehr anrichten. Und was so ein Wurmschreiber ist, meint sicherlich mit "Schaden" nicht die Verbreitung des Wurms an sich, sondern eben den MS-Angrif. Das der Wurm die Systeme runterzog war doch, wenn ich es richtig verstanden habe, eh ein "Fehler"... ( also ein "Fehler" im Fehler" ;-))
Chräcker
-
Moin!
Soweit ich es verstanden habe, sollte der Wurm nach diesem Datum keinen "Schaden" mehr anrichten.
Du darfst nicht vergessen, daß auf vielen Systemen das Datum verstellt ist, weil irgendwelche Shareware oder Previews sonst nicht mehr laufen würden. Sogar in "seriösen" Firmen bin ich schon auf solche Rechner gestoßen. Das ist auch der Grund für immer noch existierende code-red - Angriffe.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Development. Auch für seriöse Agenturen.
-