Allgemeines 22.064 Themen, 149.976 Beiträge

Verfolgung starten Optionen

Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall

Teletom / 30 Antworten / Baumansicht Nickles

Hi,

der Remote Procedure Call (RPC) und der DCOM-Dienst Port 135 stehen häufig im Mittelpunkt von unerwünschten Zugriffen via Internet.

Es folgen 2 Erscheinungsformen, die die Öffentlichkeit alarmieren:

1. Spammer senden Winpopup-Belästigungen mit Hilfe des RCP-Dienstes, so dass der NACHRICHTENDIENST (Reizwort würg!) Unerwünschtes anzeigt.

2. Ist der RPC-Patch nicht installiert, wird über RPC der W32-Blast-Wurm eingeschleust. Nach dem Neustart wird automatisch msblast.exe gestartet, es erscheint ein NT-AUTORITÄTS- Fenster und der Computer wird nach ein paar Sekunden runtergefahren.

Bei Privatleuten ist es nicht verwunderlich, dass Windows insbesondere der RPC-Dienst sich häufig nicht auf den neuesten Update- bzw. Patch- Stand befindet. Updates über das Internet dauern lange besonders in dem Fall, wenn man ein analoges Modem hat. Und Zeit ist im wahrsten Sinne des Wortes Geld.

Cool kann man bei solchen Aktionen bleiben, wenn man verhindert hat, dass solche unerwünschten RCP- und Internet- Pakete in das System gelangen können. Bevor der eigentliche Angriff erfolgt, wird erst einmal ein IP-Scan auf der Grundlage von Pings durchgeführt. Der Angreifer muss erstmal feststellen, welche Internet IP- Nummern online sind. Danach erfolgt die eigentliche (z.B. RCP-) Attacke auf die online festgestellten Computer im Internet.

Einfach jedoch wirkungsvoll ist die Lösung, einen Firewalldienst einzurichten, der beim Ping-Sender "Zeitüberschreitung der Anforderung" erscheinen lässt, genauso als wenn der Computer nicht online wäre. Das bewirken sogenannte ICMP- Protokoll- Einstellungen, die man bei bestimmten Firewalldiensten vornehmen kann. Der eigentliche Angriff wird verhindert, weil der Angreifer fälschlicherweise davon ausgeht, dass der Zielcomputer nicht online ist.

Wer von meinen betreuten Computeranwendern glaubte, dass man nur den NACHRICHTENDIENST deaktivieren braucht, um keine lästige Nachrichten zu erhalten, hatte im Fall des Nicht-Uptodate-Seins des Systems NATÜRLICH ein wunderliches NT-AUTORITÄTS-Fenster-W32.Blaster-Erlebnis. Leute, die einen Firwalldienst mit ICMP-Ping-Einstellungen verwenden, haben keine diesbezüglichen Schwierigkeiten und können sich jetzt in Ruhe überlegen, ob sie den Nachrichtendienst deaktivieren und den RCP-Patch reinziehen oder eben nicht.

Bei Windows XP ist diese Firewalleinstellung beispielsweise sehr leicht zu realisieren:
Rechtsklick auf die DFÜ- oder Breitband- Verbindung > Erweitert > Haken oben bei Firewall setzen.

Bei Windows NT, W2000 und anderen Windows- Versionen kann man beispielsweise Look n Stop Lite (googeln!) als Dienst einrichten.

Eine Firewall ist in dem Fall nicht nur im wahrsten Sinne des Wortes hot.

Gruß Teletom

bei Antwort benachrichtigen
Olaf19 Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

Hi Teletom!

Eins ist mir an dieser ganzen MSBlast-Geschichte unklar, um nicht zu sagen unheimlich:
Ist der RPC-Patch nicht installiert, wird über RPC der W32-Blast-Wurm eingeschleust
Heißt das, diese Datei wird ohne mein Zutun "automatisch herunter geladen"? Wenn ja:
Bei welcher Gelegenheit passiert das, d.h. wie komme ich mit einer Quelle in Kontakt?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
BIMEX Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

@Olaf19 - King-Heinz hat heute internetterweise wie folgt gepostet:

Quote
----------------------------------------------------------


Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegeben.
Auf befallenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.
Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüber hinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.
Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen. NAI hat sein Entwurmungstool Stinger aktualisiert und zum Download bereitgestellt, ebenso hat Trend Micro seinen System Cleaner auf den neuesten Stand gebracht.
Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DOS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.
-----------------------------------------------------------

bei Antwort benachrichtigen
Olaf19 BIMEX „@Olaf19 - King-Heinz hat heute internetterweise wie folgt gepostet: Quote...“
Optionen

Hi Bimex,

das ist ja alles schön und gut - aber damit ist meine Frage in keiner Weise beantwortet. Wodurch komme ich denn nun an das Programm MSBLAST.EXE, wenn ich es mir weder selber herunterladen noch jemand anders es mir per eMail schicken muss?

Dass durch die Internetverbindung allerlei Datenpakete bei mir ankommen, ist schon klar, aber wodurch wird dieses Programm auf meiner Festplatte abgespeichert, wenn ich dem nicht ausdrücklich zugestimmt habe?

Was passiert eigentlich, wenn ich dieses Programm schon habe? Kommt dann die übliche Meldung "Es existiert bereits eine Datei MSBLAST.EXE, wollen Sie sie überschreiben?". Das wäre ja wohl der Witz in Tüten...

Bitte um etwas Nachsicht für diese Fragen, aber ich bin kein Netzwerk-Techniker.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
BIMEX Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

@Olaf19 - sobald Du im Internet bist und über Port 135 angreifbar bist (meine, der M$ Patch ist noch nicht installiert und keine Firewall kümmert sich um Port 135), bist Du passiver "Zuschauer", wie das Zombie Proggi via RPC in Dein System eindringt und wie oben beschrieben die MSBLAST.exe installiert, die dann wiederum aktiv wird, andere Systeme zu rekruitieren (gemeinsamer Beschuss Microsoft Update Site ab 16. August bis Ende des Jahres). Einfach gesagt, Du infizierst Dich (ohne Patch und Firewall) automatisch, einfach durch den Zugang ins Internet, Dein System wird nach unbemerkter Infektion in den Stand des "Mini-Rambo" erhoben, das im Feldzug gegen die Microcsoft Update Site eines der vielen hunderttausend "IT Soldaten" darstellt, die eine erfolgreiche Denial of Service Attacke zum Ziel haben.

bei Antwort benachrichtigen
BIMEX Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

@Olaf19 - noch vergessen, meine Firewall (Agnitum Outpost) meldet derzeit eine Ozon-Frequenz von runden 50 abgewehrten Port 135 Angriffen pro Stunde durch das Zombie Proggi. Natürlich werden sich die meisten schützen, aber eines ist doch klar, es gibt noch aber hunderttausende DAU´s, deren Systeme via Internet-Zugang vollautomatisch rekruitiert werden. Ich will es mal überspitzt sagen. Ich denke, wer via Meldung "XP fährt herunter" ganz offensichtlich eine Attacke signalisiert, löst doch schon bei Bill eine Download Frequenz nach dem Patch besonderer Kajüte aus, wenn nun der "Schnupperkurs" seitens des Zombie Proggi Designers beendet ist und das Teil so umprogrammiert wird, dass es z.B. auf die White House Site und Pentagon Site zielt, haben wir den CyberWar par exellence, den Patches von Bill wird es dann (technisch gesehen) nicht mehr geben. Meinem Erachten nach halte ich es durchaus für möglich, dass eventuellen terroristischen Geldgebern, die Interesse daran haben, die Wirkungsweise dieses Zombie Proggis am "lebenden Objekt", sprich Bill´s marktbeherrschender Softwareschmiede, live in Sachen Feedback in Presse und Medien zu erleben, dann noch neue Ideen einfallen, wie man die US amerikanische Wirtschaft auf einfache Weise in Schwierigkeiten bringen kann, für nicht ausgeschlossen. Immerhin, das Internet und seine User können zum unsichtbaren Gegner (hunderttausende Rekruten zählendes Rechner-Heer) mutieren, wo im wahrsten Sinne des Wortes dann ein Re-Mix des Movies "Das Imperium schlägt zurück" brutale Wirklichkeit werden könnte.

bei Antwort benachrichtigen
BIMEX Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

Olaf19 - Das Programm MSBLAST.exe kommt Dir automatisch aufs System, wenn Du keine Firewall oder den M$ Patch für Port 135 installiert hast, und sich Dein System im Internet aufhält. Die von mir derzeit gemessene Frequenz für Port 135 Angriffe (Zombie Proggi) liegt bei 51 pro Stunde, d.h. aber tausende infizierte Systeme suchen derzeit nach ungeschützten Systemen, die das Zombie Proggi für eine Denial of Service Attacke aufnehmen. Und angesichts von aber hunderttausenden von DAU´s die nur wegen Chats und PiPaPo ins Netz gehen, ist ein Ende der Wurmverbeitung derzeit nicht absehbar ...

bei Antwort benachrichtigen
Olaf19 BIMEX „Olaf19 - Das Programm MSBLAST.exe kommt Dir automatisch aufs System, wenn Du...“
Optionen

> Die von mir derzeit gemessene Frequenz für Port 135 Angriffe (Zombie Proggi) liegt bei 51 pro Stunde

Okay, danke bis hierhin. Jetzt bleiben aber noch ein paar Fragen:

- Wie viele Angriffe sind denn normalerweise auf diesem Port zu verzeichnen? Sind es sonst weniger? Steckt wirklich MSblast hinter all diesen Angriffen, oder ist es das übliche "Hintergrundrauschen" im Internet?
- Ist Port 135 überhaupt per Default geöffnet?
- Wie kann ein solches Programm installiert werden, wenn ich nicht mit Administratorrechten ins Netz gehe?
- Was passiert, wenn ich das Programm schon auf meiner Platte habe und es mir ein zweites Mal einfange: Überschreibt es sich dann automatisch selbst, ohne eine verräterische Alertbox (siehe mein Posting weiter oben)?

Danke so weit!

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
BIMEX Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

@Olaf19 - Der Patch von M$ für RPC Loch ist das Dilemma, der Angreifer erhält vollen Zugriff auf Deinen Rechner (d.h. Deine Administratorrechte sind nur noch einen Pfifferling wert), die Angriffe auf Port 135 und die jeweiligen IP´s, die dahinter stecken habe ich mich dem Programm "Where is IP" auf Location und Namen übeprüft. Ergebnis: es gibt keine IP Location und auch keinen Namen des IP Inhabers, was es als Report gibt, ist eine fiktive Beschreibung einer registrierten IP, die grundsätzlich das gleiche Strickmuster trägt, hier falsche Schreibweisen. Beispiel: aus EUROPEAN wird EURPEN und weiteres, daran erkenne ich, es ist immer der derselbe Ursprung, egal, welche von den falschen IP´s, die den Angriff auf die Ports vornehmen, geprüft wurde. Port 135 ist per Default offen, wenn nicht der M$ Patch installiert wurde bzw. eine Firewall installiert ist. Verräterische Alert-Box (überschreiben). Tja, das MSBLAST Proggi öffnet und schliesst Ports, pflanzt sich in die Registry, um dann die vom User gelöschte MSBLAST.exe beim Neustart wieder aus dem "Papierkorb" zu holen, will sagen, die Leute sind clever genug, dem User nicht auch noch Mitteilung zu machen "Wollen Sie diese Datei überschreiben ??? Ich denk mal, lass uns abwarten, was nach dem 16. August (Attacke Microsoft Update Site) in den einschlägigen Medien an Meldungen abgeht. Immerhin glaubt man der Computerbild in der Szene mehr als einigen Zeilen von BIMEX im Nickles Forum. Schauen wir mal ...

bei Antwort benachrichtigen
BIMEX Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

@Olaf19 - noch vergessen zu beantworten, angesichts der Tatsache, dass M$ extra einen Patch heraus gibt, der Port 135 schliessen soll, das alles in Zusammenhang mit Meldungen in Medien und Presse über den W32.blaster Wurm und seine rapide Verbreitung, erübrigt die Frage, wieviele Attacken üblicherweise über Port 135 erfolgen, denn ich kann nur fststellen, was JETZT ist und nicht nicht, was üblich war. Jedenfalls habe ich noch keine so hohe Frequenz (runde 50 Port 135 Attacken pro Stunde) feststellen können, also scheint irgendwie etwas Wahres an den Meldungen über den Wurm und seine rapide Verbreitung dran zu sein. Logisch, im Gegensatz zu früheren Würmern, die sich in der Regel durch Öffnen eines E-mail Anhangs verbreiteten, ist dieses Teil, dass ein Loch im M$ System nutzt, um jeden ungeschützten Internet Benutzer zu infizieren, ein Wurm der neuen Art ...

bei Antwort benachrichtigen
BIMEX Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

Und zu guter letzt...- sehe gerade, dass sich das Zombie Proggi unter anderem (insgesamt 3 mal, trotz Patch und Firewall) unter der Remote IP 12. 220.139.55 mit der lokalen Port Bezeichung MICROSOFT_DS (Anwendung System, Port 2992, TCP) , Remote IP 217.184.154.27, Bezeichnung DCOM (Anwendung SVCHOST, Port 4484, TCP ) und 217.184.177.167 (Anwendung SVCHOST, Port 1035, UDP) irgendwie auf meinem System manifestiert hat. Vielleicht spinen ich auch nur, aber es wird Zeit, dass ich jetzt blitzartig auf LINUX übergehe, es wird mir schlichtweg auf einem unkontrollierbarem System zu heiss...

bei Antwort benachrichtigen
Teletom Nachtrag zu: „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

Hallo,

geiler Meinungsaustausch, wenn mir die Bemerkung gestattet sei (kann das nicht öfters so sein z.B. im Hackerbrett?).

Sorry, bin etwas im Verzug beim Antworten wegen viel-zu-tun.

Wenn der MSBlast-Lovsan- Wurm sich erst mal über den nicht gepatchten RPC/DCOM- Dienst eingeschleust hat und sich als SVCHOST-Thread bzw. System-Anwendung getarnt hat, na dann Prost Mahlzeit!!!

Meine Empfehlung:

- W32.Blast-Lovsan-Entfernungstool downloaden und anwenden
z.B. http://pool.download.t-online.de/download/dl/71BDWAAtHB5PU/shareware/utilities/antiviren-software/viren_entfernen/fixblast.exe
- RPC-Patch downloaden und installieren
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm#Patch
- Viren-Schutz-Programm updaten
- Firewalldienst wie XP-Firewall oder Look n Stop Lite im Fall der Nichtverwendung einer Firewall installieren
oder bei Verwendung einer Firewall ICMP- Einstellungen vornehmen, so dass "Zeitüberschreitung der Anforderung" beim Ping-Sender erscheint. Im Gegensatz zur Microsoftempfehlung die Ports 135... mit Hilfe der Firewall zu blocken, sollte man ICMP-Ping so einstellen, dass der Ping-Sender (fälschlicherweise) annehmen muss, dass das Ziel offline ist.
Vergleiche MS (aber Firewalleinstellungen nicht ausführen!)
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm#Problem & http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/blaster.htm

Bei einer vorhandenen Firewall ICMP-Einstellungen, wie folgt, vornehmen:
# 8 Echo Request eingehend nicht zulassen
# 13 Timestamprequest eingehend nicht zulassen
# 17 Mask Request eingehend nicht zulassen RFC 950
(# Routeranforderung eingehend nicht zulassen RFC 1256)
# 3 Destination unreachable ausgehend nicht zulassen
# 4 Source Quench ausgehend nicht zulassen
# 12 Parameter Problem ausgehend nicht zulassen
# 11 Zeitüberschreitung ausgehend nicht zulassen
# 5 Redirect (Umleiten) nicht zulassen
Alle anderen ICMP-Typen zulassen (das entspricht den ICMP-Standard-Einstellungen der XP-Firewall).

ACHTUNG: Wenn man Ports blockt wie Port 135, bedeutet das, hier ist ein Computer mit geblockten RPC. Das kann zu weiteren Angriffen provozieren!!!

Gruß und viel Spaß
Teletom

bei Antwort benachrichtigen
Tromain Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

Hallöle;

mal ne andere Frage, was passiert eigentlich wenn Wir den Wurm einfach mal alle machen lassen? Ich meine der Wurm selber richtet auf meinem System oder auf anderen keinen wirklichen schaden an, AUßER: das er Ports auf macht um sich weiterzusenden und am 16.08.2003 einen Angriff auf MICROSOFT zu starten. Also erste Frage:

Warum nicht? Lassen wir Ihn machen

und...

Ihr Denkt doch nicht wirklich das, daß Microsoft interessiert. Die Schließen einfach die Seite, um an anderen Stelle, die Seite wieder neu zu eröffnen.

Ich kenne niemanden der nicht über die Billi Boy Sch... schimpft, aber niemand will das sein Rechner, Microsoft angreift. Wie jetzt?

Also ich denke über die Sache, dass sich hier einige Virenschutz hersteller und Provider goldene Nasen verdienen und der Wurm, wie fast jeder Virus, sich sang und klang los selber versenkt.

Tromain

bei Antwort benachrichtigen
Teletom Tromain „Hallöle mal ne andere Frage, was passiert eigentlich wenn Wir den Wurm einfach...“
Optionen

Ich bin prinzipiell gegen Angriffe.

Die oben dargestellten ICMP-Firewall- Einstellungen blockieren keinen einzigen Port. Man sollte die Ports nicht blocken, da ja, wie schon erwähnt, durch das Portblocken weitere Angriffe provoziert werden können.

Wenn die Ports nicht geblockt sind, kann jedes Programm portmäßig machen was es will (*etwas gezwungenes gedehntes Grinsen*).

Gruß
Teletom

bei Antwort benachrichtigen
thomas woelfer Teletom „Ich bin prinzipiell gegen Angriffe. Die oben dargestellten ICMP-Firewall-...“
Optionen

_natuerlich_ muss man 135 zumachen. um genau zu sein ist es nach meinem dafuerhalten sogar so das man am besten einfach alles zumacht - das waere das default-verhalten jeder personal firewall, einschliesslich der von xp. da mag man anderee meinungen vertreten, nur ist es im fall des aktuellen wurms einfach so das die 135 zu sein _muss_.

es interessiert den wurm schlicht und ergreifend gar nicht ob icmp nun antwortet oder nicht: der wurm sucht offene 135er und keine antwortenden icmps.

wenn man also einfach nur icmp blockt aber 135 offen laesst (ungepatched), dann wird man sich den wurm mit sicherheit einfangen.

iow: abgesehen von der tatsache das man natuerlich sein system updten sollte ist es im aktuellen zusammenhang absolut sinnvoll den 135er zu schliessen. ( nach meinem dafuerhalten, auch wenn ich weiss das es da andere meinungen gibt, sollte man grundsaetzlich alle ports dicht haben die man nicht braucht. )

WM_MY0.02$

this posting contains no tpyos.
bei Antwort benachrichtigen
Teletom thomas woelfer „sorry - da muss ich wiedersprechen“
Optionen

sorry, da muss ich nun wiederum wiedersprechen.

die Fakten sprechen einfach für mein Dargestelltes.

Rechner mit ICMP-Firwall-Einstellungen haben keinen Wurmbefall mit W32.Blast bekommen (Port 135 ist nach wie vor offen).

Computer die keine Firewall hatten, wo beispielsweise nur der Nachrichtendienst deaktiviert wurde, bekamen den Wurm (wenn der RPC-Patch nicht installiert war).

Diese Tatsache deutet daraufhin, dass vor dem 135er -Portscan ein IP-Scan auf der Grundlage des ICMP-Pings durchgeführt wird.

Glaubt man Veröffentlichungen, wird ein PC mit offenen 135 Port nach kurzer Zeit infiziert, wenn der RPC nicht gepatcht ist. Das ist aber bei Einsatz eines ICMP-Firewalls bis jetzt noch nicht passiert.

Und Port-Blocken bringt nicht viel, glaub es, es werden nur Attacken provoziert, wenn "Destination is unreachable" als Antwort erscheint ("Hier ist ein Computer mit Firewall, die den Port blockt!").

Gruß
Teletom

bei Antwort benachrichtigen
thomas woelfer Teletom „sorry - da muss ich wiedersprechen“
Optionen

naja: das ding mutiert. ganz gleichgueltig ob heute vorher ein ping gemacht wird oder nicht: das bedeutet nicht das das morgen bei der naechsten variante auch noch der fall ist. maw: icmp dichtmachen aber port nicht bringt nix.

geeignete scanner wie z.b. nmap scannen beispielsweise auf wunsch auch ohne icmp - m.a. nach ist das blocken von icmp einfach nur eine methode script-kiddies draussen zu lassen weil die sich von sowas einfachem vielleicht entmutigen lassen. wenn die sich dann durch geblockte ports dazu ermutigt fuehlen weitere angriffe zu versuchen (um dann festzustellen das eben die anderen ports auch zu sind): bitte sehr, sollen sie, tut ja nicht weg. damit will ich nicht sagen das man icmp _nicht_ zumachen sollte - da spricht nichts dagegen. es ist nur einfach nicht ausreichend.

ich will mich hier aber nicht auf eine grundsatzdiskussion der marke 'ports blocken oder nicht' einlassen - da sind wir offensichtlich unterschiedlicher meinung.

trotzdem halte ich es fuer notwendig darauf hinzuweisen das die einzige methode sich vor fehlern in irgendwelchen diensten (ganz gleich auf welchem betriebssystem) darin besteht den dienst erst gar nicht nach aussen zur verfügung zu stellen. und das ist nunmal am einfachsten indem man alle ports die man nicht braucht dicht macht. (meinetwegen kann man statt geblockter ports auch paketfilter nehmen, laeuft im prinzip auf das gleiche hinaus.)

auf privatenrechnern die keine gameserver oder aehliches hosten bedeutet das: alle ports zu- dann gibst auch keine problem mit diensten die fehlerhaft oder per definition gefaerhlich sind. (z.b. offenes sendmail bei linux, offenes smb bei windows)

auf 'server' rechnern bedeutet das: keine ports die man nicht braucht, also auf einem webserver eben nur port 80.

blocken von icmp ist kein schutz sondern nur eine verschleierung - die aber nichts bringt wenn die gegenseite hartnaeckig ist oder der rechner eh kennt. (z.b.: was sollte es bringen icmp auf nickles.de zu unterbinden wenn eh jedermann weiss das es nickles.de gibt und welche ip-adresse(n) es verwendet?).

soweit es mich betrifft: EOD

WM_MY0.02$

this posting contains no tpyos.
bei Antwort benachrichtigen
Teletom thomas woelfer „sorry - da muss ich wiedersprechen“
Optionen

ICMP-Firewall verhindert letztlich den Erstbefall des W32.blast.Wurms und das ist ein Fakt. Der Wurm mutiert, das richtig. Das kann er aber nur, wenn der Erstbefall erfolgreich war.

Ich spreche mich nicht generell gegen das Blocken von Ports aus. Nur eingehende Ports sollten durch einen Onboard-Firewall nicht geblockt werden. Bei einer externen Firewall sieht das ganz anders aus. Damit eingehende Ports vom Internet über externe Firewalls erreichbar sind, muss man den Port sowieso erst forwarden. Mit anderen Worten Port 135 müsste für eine interne IP bei einer externen Firewall erst freigeschaltet werden (würde aber nichts bringen, außer man will beispielsweise Nachrichtendienst über Internet so betreiben).

Eine externe Firewall-Ip zusätzlich anzugreifen, bringt auch nichts, denn da ist ja kein herkömmliches Betriebssysten drauf.

Bei einer Personell Firewall onboard mit Internetdirektzugang lohnt sich ein weiterer Angriff auf der Grundlage eines geblockten Ports, da hier meistens Windows läuft. Darüber hinaus kannst Du nicht alle Ports oberhalb 1024 eingehend blocken. Wie oben dargestellt, verwendet der mutierte Wurm Ports oberhalb 1024 (und nu?).

Die Sache mit ICMP ist nicht so einfach, wie man denkt.

Schnelle RPC-Zugriffe werden mit Hilfe von UDP realisiert. Ist der 135-Port nicht offen und die IP ist online, wird ohne ICMP-Firewall eine ICMP-Antwort auf einen UDP-Zugriff generiert "destination unreachable". Mit ICMP-Firewall kommt dagegen die Meldung "Zeitüberschreitung der Anforderung".

Unauffällig und somit vor dem Entdecken sicher sowie sehr zeit- und somit geldsparend ist, dass vor einer eigentlichen Portattacke ein IP-Scan mit Hilfe ICMP-Pings veranstaltet wird. In dem letzten Fall kommt wieder die Meldung "Zeitüberschreitung der Anforderung" bei Einsatz eines ICMP-Firewalls. Diese Meldung bewirkt faktisch den Abbruch der Attacke.

Gruß
Teletom

bei Antwort benachrichtigen
thomas woelfer Teletom „sorry - da muss ich wiedersprechen“
Optionen

hiho.

ich moechte mich wie gesagt hier nicht auf eine grundsatzdiskussion einlassen - kann das aber so nicht stehen lassen.

bei den mutationen geht es nicht um rechner die befallen werden sondern darum das weitere personen (oder der erstautor) den urspruenglichen wurm nehmen und ihn veraendern. in diesem zuge ist es absolut plausibel das der icmp check rausfaellt. und darum sollte man den port auch dicht haben.

was das blocken von ports angeht: nehme an mit 'onboard firewall' meinst du sowas wie eine personal oder desktop firewall. kann dir da wie gesagt nur wiedersprechen: wenn man die ports nicht zumacht, dann ist man auch nicht geschuetzt. darum ist es auf jeden fall sinnvoll die friewall einzuschalten damit die ports zu sind. irgendwelche scharaden mit abgeklemmten icmp bringen nix.

mit der diskussion drehen wir uns nur halt im kreis: lass es uns dabei belassen; es haben wohl mitlerweile wirklich alle mitbekommen das wir da unterschiedlicher meinung sind. :)

WM_MY0.02$

this posting contains no tpyos.
bei Antwort benachrichtigen
Teletom thomas woelfer „sorry - da muss ich wiedersprechen“
Optionen

Na gut, ich lass es dabei. Ich jedenfals kann mit widersprüchlichen Standpunkten leben (so langsam komme ich mir vor, als ob ich selbst der Widerspruch bin, dem ist aber auf keinsten Fall so). Ich erwarte jedoch auch von den anderen Parteien, dass sie meinen Standpunkt akzeptieren können.

Ich biete eine Praxislösung für Personal Firewalls (sorry, hab ich oben unter Zeitdruck etwas falsch geschrieben) an, die mehr als nur zum Ausprobieren anwendbar ist.

Alleine durch diese ICMP-Personal-Firewall werden Angriffe ferngehalten.
Insbesondere kommen die 2 "berühmten" Attacken nicht zur Ausführung, weil erst gar nicht die entsprechenden Pakete in das System gelangen:
1. Winpopup-Nachrichtendienst-Spam
2. W32.Blaster-Lovsan.Wurm
(natürlich auch andere Angriffe)

Um doch noch auf einen gemeinsamen Nenner zu kommen, kann man zusätzlich die entsprchenden Ports laut Microsoft blockieren. Das ist jedoch bei einen oben beschriebenen ICMP-Firewall mit Sicherheit nicht nötig, erhöht jedoch die Datensicherheit des Systems:
Blockieren Sie die UDP-Ports 135, 137, 138, 445 und die TCP-Ports 135, 139, 445, 593 an Ihrer Firewall.
Das Blockieren ist eine zusätzliche Maßnahme, die sich speziell auf den RPC-Zugang auswirkt (XP, W2000 und W2003).

Wenn man nur die ICMP-Einstellungen ohne Blockierungen vornimmt kann man RPC sogar weiterhin im Internet verwenden, z.B. Nachrichtendienst über Internet.

Gruß und viel Spaß
Teletom
PS: Leben heißt auch, mit widersprüchlichen Meinungen zurecht kommen.

bei Antwort benachrichtigen
basil Teletom „sorry - da muss ich wiedersprechen“
Optionen

Hast Du dich eventuell schon einmal gefragt, was die interne Firewall in XP noch alles blockiert außer ICMP und welche Auswirkung dies hat?

bei Antwort benachrichtigen
Teletom basil „sorry - da muss ich wiedersprechen“
Optionen

Ja hab ich.

die Standardeinstellung blockt ziemlich viel.
Ports muss man erst freischalten, das habe ich gemacht:
135 ist z.B. offen.

Gruß
Teletom

bei Antwort benachrichtigen
Olaf19 Teletom „sorry - da muss ich wiedersprechen“
Optionen

Hi Teletom!

Dazu muss ich auch noch was sagen - nachdem wir uns auf dem Hackbrett deswegen wochen- und monatelang beharkt haben :-)
Du hattest immer wieder der Tipp gegeben, die XP-eigene Firewall zu aktivieren - ich habe es nicht gemacht...
Bis gestern hatte ich schlamperterweise noch nicht einmal den Securitypatch wg. MSblast eingespielt.

Trotzdem hatte ich die ganze Zeit nie irgendwelche Probleme, weder mit Winpopup-Spam, noch mit MSblast oder sonstwas.

Nun habe ich mal in meinen Netzwerk-Einstellungen herumgewühlt - und da sehe ich doch unter Breitband (HanseNet) > Eigenschaften > Karteikarte [Erweiter] > Internetverbindungsfirewall einen H a k e n ...! Der muss bei der Installation von WinXP ohne mein Zutun per Default gesetzt worden sein.

Das heißt auf gut Deutsch: Ich war monatelang mit Firewall im Web unterwegs und habe nichts davon gewusst. Das erklärt rückblickend vielleicht doch so manches... Die Aussage von 'bimex', dass der Virus bei ihm über 50x pro Stunde an Port 135 angeklopft hat und ohne Blockade einfach hineinspaziert wäre, hatte mich doch ein wenig stutzig gemacht.

Abschließende Frage: In den Netzwerkeigenschaften der LAN-Verbindung könnte ich auch einen Haken bei Internetverbindungs-Firewall setzen. Das ist wahrscheinlich aber nicht mehr nötig, oder? Die Verbindung kommt ja über HanseNet-ADSL zustande, nicht über ein LAN; so etwas besitze ich gar nicht, mein Rechner ist unvernetzt.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Teletom Olaf19 „@Beichtvater Teletom :-)“
Optionen

Ja ja, das sind sie. Erst über den Firewalldienst meckern und anschließend stellt sich raus, dass sie monatelang sowieso damit arbeiten (kleiner Scherz).

Sieh Dir mal bitte die Datei "Pfirewall.log" im Windows-Verzeichnis mit dem Notepad an:
Datum Uhrzeit Drop TCP Quell-Ip Ziel-Ip(Deine IP) Quell-Port Zielport(z.B. 135) ...
kommt sehr häufig vor, nicht wahr? Das ist der Wurm mit Sicherheit.

Der Nachteil bzw. Vorteil des Xp-Firewall-Diensts (das kann man sehen, wie man will) ist, dass man genau wie bei einer externen Firewall die Ports erst frei schalten muss, um beispielsweise E-Mail mit Hilfe eines E-Mail-Programms zu betreiben.
Start > Verbinden mit DFÜ- oder Breitband-Verbindung > Internetverbindung Rechtklick > Eigenschaften > Reg-Karte Erweitert > Einstellungen unten rechts > Reg. Karte Dienste
Im Fall des E-Mail-Programmes mindestens
Internetmailserver (SMTP)
und
Post-Office Protocol, Version 3 (POP3)
aktivieren

Im Taskmanager ist der Personal Firewalldienst von XP schwierig festzustellen, da er ein Thread des svchost.exe-Diensts ist.

Look n Stop lite kann man mit Srvany (http://sebastien.portebois.free.fr/lingo/smus/installation/installSmusAsNTService_uk.htm) als Dienst einrichten und gut tarnen, in dem man einen günstigen Namen für den Taskmanager festlegt.

Bei Look n Stop lite kann man akustische Signalisiering aktivieren und es macht zur Zeit äußerst häufig "KlingKlong", weil Port 135 (bei LnS als loc-srv bezeichnet) und Port 445 (bei LnS als microsoft-d bezeichnet) abgewiesen werden.

Gruß
Teletom

bei Antwort benachrichtigen
Olaf19 Teletom „@Beichtvater Teletom :-)“
Optionen

Hmmm... in den letzten Monaten habe ich meinen gesamten Mailverkehr über den Webmailer von GMX abgewickelt, hatte zuvor aber verschiedene Mailclients (Outlook Express, Pegasus, GeMail) ausprobiert und konnte diese benutzen ohne irgendetwas freigeben zu müssen. Dies nimmt mich nun wieder Wunder.

Wie schaut es denn mit der Internetverbindungsfirewall für die LAN-Verbindung aus - dort ist der Haken per Default nicht gesetzt, sollte ich den auch aktivieren? Oder genügt der IFV für die Breitbandverbindung?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Teletom Olaf19 „Ports freigeben“
Optionen

Hi,

für die LAN-Verbindung brauchst Du in der Regel keinen Personal-Firewall (vor allem dann nicht, wenn nur ein PC vorhanden ist).

Den LAN-Computern wird meistens vertraut.

Gruß
Teletom
PS: Das Gute bei XP und Look n Stop ist, dass man diese Firewalls für einen speziellen Netzwerk-Adapter einrichten kann und nicht nur generelle Netzwerkpaketeinstellungen vornehmen kann.

bei Antwort benachrichtigen
Olaf19 Teletom „Ports freigeben“
Optionen

> Das Gute bei XP und Look n Stop ist, dass...

Das beste ist: Ich brauche nur einen Haken zu setzen - oder auch: gesetzt zu lassen :-)))

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
oleg2 Teletom „Cool a W32.MSBLAST(.exe).Worm - Hot a ICMP Ping Firewall“
Optionen

ich grüße alle

wo gibt es information, wie dieser fehler bei rpc eigentlich funktioniert. ich programmiere und möchte, dass es in meinen programmen solche fehler nicht vorkommen. bei ct habe ich gelesen, dass dieser fehler etwas mit den windows messages zu tun hat. da gab es einen artikel, wie unter windows 2000/NT die Rechte erhöht werden können. bis auf den Administrator.
kennt jemand eine seite, wo man eine datailierte beschreibung aller heute bekannter fehler von windows gibt?

gruß aus göttingen
oleg

bei Antwort benachrichtigen
Teletom oleg2 „ich grüße alle wo gibt es information, wie dieser fehler bei rpc eigentlich...“
Optionen

Hi,

"nichts genaues, weiß man nicht", kann mir nur Folgendes vorstellen:
Seit Beginn der Programmierung gibt es einen Stack (Befehlstapel) und einen Heapstapel, wenn es gilt Routinen unbedingt auszuführen, die zur Zeit nicht ausgeführt werden können, weil der aktuelle Prozess noch andauert.

Heap und Stack bewegen sich übrigens aufeinander zu, der Stackstapel bewegt sich vom unteren Adressbereich des Hauptspeichers in Richtung oberer Adressbereich des Hauptspiechers und der Heap umgekehrt vom oberen Adressbereich des Hauptspeichers in Richtung unterer Adressbereich des Hauptspiechers.

Irgendwann können beide Stapel sich treffen und dann crasht es. Warum verhindert man das nicht? Weil man den Hauptspeicherbereich so einteilte, dass man davon ausging, dass ein Treffen beider Stapel "nie" praktisch auftritt. Irgendwann ist jeder Prozess zu Ende und die Stapel können abgearbeitet werden.

Nun kommt eine DoS-Attacke. Ein "ungültige" Befehlscode wird in den Heap gelegt und der Stack weitergestellt, weil schon der nächste "ungültige" Befehlscode mit Hilfe eines Netzwerkpakets anliegt.
"Ungültiger" Befehlscode in den Heap, Stack weiterstellen und das Ganze als Kettenreaktion, weil sehr viele "ungültige" Befehlscode-Pakete ankommen.

So lange bis der Heap den Stack überschreibt.
Mit anderen Worten der "ungültige" Befehlscode steht im Stack (genauer gesagt die Startadresse) und nu:
Der Stack und somit "ungültige" Befehlscode wird ausgeführt.

Kann man ganz leicht abschalten, wenn man beim Programmieren dran denkt, einfach, bevor der Heap erweitert wird, nachfragen, ob der Heapadressbereich mit dem Stackadressbereich kollidiert.

Gruß
Teletom

bei Antwort benachrichtigen
basil Teletom „Hi, nichts genaues, weiß man nicht , kann mir nur Folgendes vorstellen: Seit...“
Optionen

Ich empfehle Dir eine dringende Studie was Programmierung und SPeicherverwaltung angeht. Ein Buffer Overflow funktioniert komplett anders. Eine geeignete Anlaufstelle mit praktischen Erklärungen dazu wären Phrack.org oder der Leitfaden für sichere Programmierung von SuSE.
Wenn Dir allerdings eine einfache Erklärung dazu reichten sollte, dann lies hier weiter:
Buffer Overflows sind zwar von Programmierern verursacht, das diese möglich sind hängt aber zum einen grundsätzlich an der Architektur und Speicherverwaltung von Computern und zum anderen an der verwendeten Programmiersprache. C und C++ bieten nun einmal die Möglichkeit Buffer Overflows ungewollt zu erzeugen und teilweise sind auch weit verbreitete Libraries von versteckten Buffer Overflows betroffen. Dadurch wird es Schädigern ermöglicht über die reservierte Speichergrenze im Stack hinaus zu schreiben und durch geschicktes Programmieren, eigenen Code auf dem Stack zu plazieren. Schafft es der Schädiger auch noch die Rücksprungadresse auf dem Stack zu so modifizieren, daß nicht auf den aufrufenden Code zurück gesprungen wird, sondern auf seinen, so kann er auf einem System pribzipiell alles tun. Selbst ein Linuxkernel oder der Windowskernel kann so zum ausführen von eigenem Code mißbraucht werden und ein Nicht-Admin oder Nicht-Root kann seinen Code theoretisch in Ring0 ausführen, was z.B. Rootkits für Linux/Unix/Windows ausnutzen. Es gibt zwar spezielle Libs, die Buffer Overflows unterbinden, aber so lange es nicht möglich ist, oder genutzt wird, den Stack hardwareseitig so zu sperren, daß kein ausführbarer Code dort liegen kann wird es diese Möglichkeit wohl immer geben.
Grundsätzlich ist noch zu beachten, daß jedes Programm seinen eigenen Speicherbereich mit eigenem Stack und eigenem Heap besitzt.

bei Antwort benachrichtigen
Teletom basil „Ich empfehle Dir eine dringende Studie was Programmierung und SPeicherverwaltung...“
Optionen

Ich bedanke mich für die Empfehlung.

Kann jedoch beim besten Willen keinen Widerspruch zu meinen Ausführungen erkennen.

Sieht so aus, als hättest Du bezüglich meiner Ausführungen Probleme.

Denke zunächst bitte über diese Probleme nach.
Ich, von meinem Standpunkt aus gesehen, kann Dir jedenfalls beste Fachkenntnisse bestätigen.

Zu bezweifeln ist, ob individuelles Fachchinesisch wie "Ring0, Rootkits, Libs,..." irgend jemand was nützt.

Gruß
Teletom

bei Antwort benachrichtigen