Allgemeines 22.018 Themen, 149.176 Beiträge

Verfolgung starten Optionen

W32.Blaster.Lovsan.Worm Schutz ohne Porsts zu blockieren

Teletom / 11 Antworten / Baumansicht Nickles

Hi,
der W32.Blaster.Lovsan.Worm verwendet Port 135 des RPC/DCOM-Dienstes, um festzustellen, ob der KB823980 MS-Patch installiert ist oder nicht.

Kann man selber leicht nachkontrollieren. Im Windows-Verzeichnis sollte ein Unterverzeichnis $NtUninstallKB823980$ vorhanden sein. Das Programm http://www.pcwelt.de/public/RPCPatchCheck.zip kann das auch feststellen.

Falls der Patch noch nicht installiert ist und der Wurmbefall vorliegt, sollte man
- STRG+ALT+ENTF betätigen und den Task "msblast.exe" beenden,
- den Internetzugang so schnell wie möglich sperren,
- mit Hilfe eines Entfernungsprogrammes den Wurm entfernen z.B.   http://securityresponse.symantec.com/avcenter/FixBlast.exe ,
- zur Sicherheit msblast.exe aus der Autostart-Möglichkeit entfernen (z.B. Ausführen msconfig Systemstart)
und
- den KB823980 RPC-Patch installieren http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm#Patch .

Natürlich sollte die Viren-Schutz-Software schnellstens aktualisiert werden.
 That's all!

Und wo bleibt die Firewall?
Es gibt gleich mehrere Gründe, die RPC/DCOM-Ports im Internet NICHT zu blockieren:
1. RPC ist bei einer Blockierung im Internet nicht mehr möglich.
Es gibt beispielsweise, soweit man weiß, Tauschbörsen die sowas benötigen.
2. Gefilterte also geblockte Ports erregen Aufsehen im Internet und können zu Angriffen provozieren. Ein Portscan des eigenen Computers verdeutlicht die Problematik http://www.port-scan.de/content.html?scans/udp-test.html~mainFrame-ps . Natürlch wäre an dieser Stelle das Ergebnis "Kein Dienst" das beste, aber RPC/DCOM kann man unmöglich deaktivieren.

Ohne geblockten 135-Port ist sehr viel Traffic im Internet auf diesem Port zu verspüren, ist aber weiter nicht schlimm, denn es wird nur der KB823980 RPC-Patch-Zustand abgefragt und es erfolgt kein W32.Blaster.Lovsan- Angriff, wenn der besagte Patch installiert ist. Bei Zunahme der Entfernung des Virus wird der genannte Traffic schnell abnehmen.

Gruß und viel Spaß
Teletom

bei Antwort benachrichtigen
J-G-W Teletom „W32.Blaster.Lovsan.Worm Schutz ohne Porsts zu blockieren“
Optionen

von Chip.de:
Der "Blaster"-Wurm ... kopiert sich einfach per FTP auf den Opfer-Rechner - über die Ports UDP 69 (TFTP, Port auf der Seite des Angreifers) und TCP 4444 (beim Opfer).
...
Als drittes Indiz können Sie mit einem Netzwerk-Traffic-Analyser den Verkehr auf den Port 135 TCP feststellen. Über den Port 135 sucht der Wurm nach weiteren verwundbaren Rechnern.
...
Die meisten Router enthalten Sicherheits-Features, bei denen alle Ports abgeschaltet sind - ausgenommen die für den Basis-Internet-Verkehr üblichen. So wäre der Port (TCP 4444), mit dem der Blaster-Wurm auf Ihren Rechner übertragen wird, nicht zugänglich.
...
Im Fall des "Blaster"-Wurms müssen Sie bei allen Desktop-Firewalls, wie bei den Firewalls von Norton, McAfee oder ZoneAlarm, nur einen Schritt ausführen. Sobald eine Anfrage auf Port 4444 TCP oder 135 TCP erscheint, blockieren Sie diese.

Aber ist das Ding nicht schon kalter Kaffee?

bei Antwort benachrichtigen
Teletom Nachtrag zu: „W32.Blaster.Lovsan.Worm Schutz ohne Porsts zu blockieren“
Optionen

Kalter Kaffee bestimmt noch nicht, es gibt Nachfolger (z.B. Graybird) und Blaster arbeitet bei Nichtentfernung nach wie vor.

ABER man braucht eben nicht, die RPC-Ports zu blockieren, wie ich oben bereits dargestellt habe.

Einen Personal-Firewalldienst (z.B. XP-Firewall, Look n Stop Lite...) setze ich bei Internetdirektzugriffs-Rechnern trotzdem ein. Und das ist gut so, direkte Angriffe werden dadurch häufig fern gehalten.

Darüber hinaus kann man Ports nicht blockieren, wenn man sie im Internet verwenden will oder muss.

Gruß
Teletom

bei Antwort benachrichtigen
Teletom Nachtrag zu: „W32.Blaster.Lovsan.Worm Schutz ohne Porsts zu blockieren“
Optionen

Übrigens gibt es ein W32.Blaster -Scanning-Tool von Microsoft:
http://support.microsoft.com/default.aspx?kbid=826369

bei Antwort benachrichtigen
Schweinebuckel Teletom „W32.Blaster.Lovsan.Worm Schutz ohne Porsts zu blockieren“
Optionen

Sag mal, Teletom, warum kämpfst Du eigentlich wie ein Löwe in allen Posts zu diesem Thema gegen das Port-blockieren?

Ich kann einige Deiner Argumente schon lesen, so wie dieses: "Gefilterte also geblockte Ports erregen Aufsehen im Internet und können zu Angriffen provozieren."

Nur: Wenn, beispielsweise, dieses stimmen würde, dürfte man auch seine Haustür nicht abschließen und schon gar keinen Tresor verwenden - denn jeder Angreifer meint mit einigem Recht, dahinter könnten sich Schätze verbergen....Das Argument, daß starker Schutz verdächtig sei, würde ich also nicht mittragen.

Und die wenigsten Ports 'braucht' man im Internet.

SB
bei Antwort benachrichtigen
Teletom Schweinebuckel „ Sag mal, Teletom, warum kämpfst Du eigentlich wie ein Löwe in allen Posts zu...“
Optionen

Mach einfach mal einen Port-Scan-Test:

http://www.port-scan.de
Klicke auf Schnelltest,
Bevor "Start Scan" angeklickt werden kann, kommt:
offen Dieser Zustand ist schlecht !
(Der Port ist offen und jeder kann in Ihr System eindringen.)
ungefiltert Dies ist kein ausreichender Schutz!
(Dieser Port wird durch eine Firewall oder einen Paketfilter überwacht. Dennoch werden die IP-Paktete weitergeleitet.)
gefiltert Recht Sicher !
(Der Port ist geschlossen, er wird scheinbar durch eine Firewall geschützt, ist aber sichtbar.)

kein Dienst Der Status ist der beste !
(An den so gekennzeichneten Ports wird nicht geantwortet, d.h. hier läuft kein Diest und der Port ist nach außen weder sichtbar noch angreifbar.)

Also externe Firewalls stehen außen vor, weil sie unproblematisch sind. Sind Ports bei externe Firewalls nicht freigeschaltet, kommt immer "kein Dienst".

Probleme bereiten interne Personal Firewalls auf Computern mit direktem Internetzugang. Wenn Ports nicht frei geschaltet sind, kommt bestenfalls "gefiltert".
>jeder Angreifer meint mit einigem Recht, dahinter könnten sich Schätze verbergen... Diese Tatsache kann provozieren´, muss aber nicht.

Da es erstens unmöglich ist RPC/DCOM zu deaktivieren und zweiten RPC/DCOM im Internet gebraucht wird, kann man auf das Offenlassen oder das Freischalten der entsprechenden Ports nicht verzichten.

Ich will Folgendes vermeiden:
Wenn ich normal im Internet surfe, schalte ich die Personal Firewall ein.
Wenn ich RPC/DCOM im Internet brauche, schalte ich die Personal Firewall aus.
Da kann ich besser die RPC/DCOM-Ports freischalten.

Gruß
Teletom

bei Antwort benachrichtigen
basil Teletom „Mach einfach mal einen Port-Scan-Test: http://www.port-scan.de Klicke auf...“
Optionen

Wer bitte braucht RPC im Internet? Ich administriere ein Netzwerk einer großen deutschen Firma und nebenbei noch mehrere kleine. Alle diese Netzwerke kommen nur mittels Proxys ins Internet und ich wüsste beim besten Willen nicht, wozu im Standardfall RPC benötigt werden sollte. Nach der Theorie, daß das Filtern von Ports unsinnig und kontraproduktiv ist wären so ziemlich alle SysAdmins unfähig, denn ich kenne keinen einzigen, der so verrückt wäre ein Netzwerk nicht mittels Paketfiltern oder Proxys abzudichten.

bei Antwort benachrichtigen
Teletom basil „Wer bitte braucht RPC im Internet? Ich administriere ein Netzwerk einer großen...“
Optionen

Sieh Dir mal bitte die Abhängigkeiten des RPC-Dienstes an.

Unter anderem Telnet, Remotedesktopzugriff (Terminaldienst), "Drucken im Internet" auch auf Unix-Systemen, Routing und RAS, DNS und vieles andere mehr.

RPC wird auch von Tauschbörsen verwendet.

Erstens ist es nach der Installation des RCP-Patchs nicht mehr nötig Port 135 zu blockieren und zweitens rate ich guten Gewissens dazu ab, RPC ist eine gute Funktionalität.

Gruß
Teletom

bei Antwort benachrichtigen
basil Teletom „Sieh Dir mal bitte die Abhängigkeiten des RPC-Dienstes an. Unter anderem...“
Optionen

Was hat denn eine lokale Dienstabhängigkeit mit der Verfügbarkeit der betreffenden Ports von außen zu tun? Vielleicht willst Du ja meine Arbeit bei Siemens übernehmen und sie darüber aufklären, daß sie sich mit dem Nutzen von Proxys und Firewalls selbst gefährden. *fg*

bei Antwort benachrichtigen
Teletom basil „Was hat denn eine lokale Dienstabhängigkeit mit der Verfügbarkeit der...“
Optionen

Wenn Du RPC/DCOM über Internet nicht freischaltest, kannst Du RPC/DCOM über Internet nicht verwenden, unabhängig davon, ob eine Firewall oder ein Proxy verwendet wird. Für den Einzel-PC- Anwender stellt sich dann die Frage:
Zu was brauche ich überhaupt DCOM, wenn die entsprechenden Ports nicht frei gegeben sind?

Im letzteren Fall kann man ja gleich DCOM deaktivieren, ein LAN ist ja nicht vorhanden. Zur DCOM-Deaktivierung würde ich jedoch in keinem Fall raten.

Gruß
Teletom

bei Antwort benachrichtigen
basil Teletom „Wenn Du RPC/DCOM über Internet nicht freischaltest, kannst Du RPC/DCOM über...“
Optionen

Gut, ich wiederhole meine Frage noch einmal, vielleicht antwortest Du dann darauf:
Was bitte hat eine lokale Dienstabhängigkeit mit der Verfügbarkeit an der Netzwerkschnittstelle zu tun?
Um das Ganze zu präzisieren:
Auch wenn der telnetd oder rras als Dienst lokal vom Laufen des RPC-Locators abhängig sein mag, so kann dennoch jeder Client auf dem Telnetserver connecten, so lange Port 23 offen ist. Warum sollte ich in diesem Falls Port 135 noch zusätzlich offen lassen?
Ganz nebenbei, scanne doch einmal die Rechner der Denic, die Webserver von Schlund, die Frontendserver von Großbanken. Du wirst wohl kaum mehr offene Ports finden als die, der bereit gestellten Dienste. Nicht einmal mittels nmap.

bei Antwort benachrichtigen
Teletom basil „Gut, ich wiederhole meine Frage noch einmal, vielleicht antwortest Du dann...“
Optionen

Du sollst überhaupt nichts, wenn Port 135 für das Internet benötigt wird, kann man Port 135 freischalten, aber nur dann wenn der RPC-MS-Patch installiert ist.

Ein Anwendungsbeispiel ist der Remotezugriff unter Verwendung des Terminaldienstes. Für den Privatanwender gibt es, wie ich oben bereits dargestellt habe, viel interessantere Anwendungsfälle.

Gruß
Teletom

bei Antwort benachrichtigen