Lösung für RPC / msblast-Geschädigte
- Ersteller Bubti
- Erstellt am
Re: @ werkam
Warum editierst Du Deinen Post dann nicht?Original erstellt von André
Habe doch schon verkürzen müssen ! FB erlaubt nur 10k Zeichen... grins
Aber ist okay, werde ich mir hinter die Ohren schreiben !
So denn, schönen Abend.
D
DjDIN0
Gast
OFFENE PORTS CHECKEN
OFFENE PORTS CHECKEN :
http://scan.sygate.com/quickscan.html
Port 135,139,445 sollten in jedem Fall besser dicht sein, sowie keine Reaktion auf den dortigen "Possible Trojans-Ports".
Ideal sollte der Status "blockiert" sein. Das zeigt an, daß die Ports nicht nur geschlossen sind, sondern vollständig vor den Angreifern versteckt.
Sieh auch Zitat :
"Wenn eine Firewall installiert ist, sollte diese zunächst aktiviert werden. Besonders sollte man hier auf die Ports 135, 139 und 445 achten, diese sind verstärkt für W32.Blaster und andere Angriffe anfällig. Am wichtigsten ist das Installieren des Patches von Microsoft..."
Quelle : https://www.computerbase.de/news/betriebssysteme/workaround-fuer-kritische-sicherheitsluecke.8097/
1)Remoteunterstützung von WindowsXP deaktivieren :
(Rechtsklick->Eigenschaften von Arbeitsplatz->Remote->Häckchen bei "Remoteunterstützung" rausnehmen)
2)RPC-Atacken -> PORT 135 abschalten :
Der RPC-Dienste von Windows ist durch seine Sicherheitslücken oft das Eingangstor der Schädlinge, hier sollte man vorallem den Port 135 sperren (wird zum Einleiten von RPC-Verbindungen mit einem Remotecomputer genutzt) - in WinXp kann man das über die hier schon integrierte Internet-Verbindungsfirewall :
Heist also :
Rechtsklick auf Netzwerk->Eigenschaften->Rechtsklick auf dortige Verbindung->Eigenschaften->Erweitert->dortige "Internetverbindungsfirewall" muss aktiviert sein.
Alllerdings sollte man die WinXP-Internetverbindungsfirewall durch manchmal auch dafür gedachte MS-Updates aktuell halten und eine professioneler Software-Firewall ersetzt sie sicher nicht zumal nicht Port und Applications-Konfigurierbar, da ist z.b. Zonealarm besser.
3) NetBIOS-Atacken verhindern :
Mann sollte bei solchen Sachen besser auch das NetBIOS abstellen um Port 137-139 zu schliessen, Grade der Port 139 ist immer kritisch und kann nebenbei auch von RPC-Angriffen missbraucht werden. So gehts :
Start --> Systemsteuerung --> Verwaltung --> Dienste, Rechtsklick auf TCP/IP-NetBIOS-Hilfsprogramm --> Beenden -> erneuter Rechtsklick darauf --> Starttyp : deaktiviert
Zusätzlich :
Rechtsklick auf Netzwerk->Eigenschaften->Rechtsklick auf dortige Verbindung->Eigenschaften->Klick auf "TCP/IP" ->Eigenschaften-> erweitert->"WINS" wählen -> dort das "NetBIOS über TCP/IP deaktivieren" markieren. (sperrt Port 137-139)
die meisten Angriffe gehen über die Ports 135-139 die dann alle so mal etwas geschützt sind. (geschlossen, jedoch nicht alle blockiert, je nach Firewall-Config)
4)
Datei und Druckerfreigabe in jedem Fall abschalten beim surfen z.b. um GUI-Angriffe zu verhindern :
Rechtsklick auf Netzwerk->Eigenschaften->Rechtsklick auf dortige Verbindung->Eigenschaften : Dortige Datei und Druckerfreigabe das Häckchen rausnehmen. Filesharing über entsprechende Tools ist dann allerdings nicht mehr möglich.
5) Windows-XP-Prozesse checken :
Ab und zu checken welche Prozesse grade laufen, Trojaner entlarven sich so oft, über STRG+ALT+ENTF unter "Prozesse" sollten in der Regel nur die Windowseigenen Prozesse an Diensten,etc. laufen :
IEEXPLORER.EXE
taskmgr.exe (Taskmanager)
explorer.exe (Windows-Explorer)
spoolsv.exe (Druckerbereitschafft)
pstores.exe (Protected Storage Server für IE und Outlook)
svchost.exe (mehrmals vorhanden)
lsass.exe (lokale Sicherheitsdienst,steuert die Richtlinien für User)
services.exe (Windows Service Controller)
winlogon.exe (Anmeldedienst von Windows)
csrss.exe (Kontrolle der gestarteten Anwendungen)
smss.exe (Sitzungsmanager)
System (selbsterklärend)
Leerlaufprozess (Verwaltung im Leerlauf)
(Je nach zusätzlich installierter Software können durch deren Autostarts beim Systemstart noch andere zusätzlich vorhanden sein.)
-->IST HIER ABER SEIT KURZEM EIN NEUER PROZESS DER EINEM NICHT BEKANNT IST ODER BELEGT EINER DER PROZESSE PLÖTZLICH IMMER ÜBR 90% CPU-Resourcen HEISST ES AUFPASSEN ! KANN DANN EIN GETARNTER TROJANER,etc. SEIN !
6)DAS ALLES SCHON MAL EIN GUTER ABER KEIN KOMPLETTER SCHUTZ !
Ein kompleter Schutz ist das alles leider nicht, hier unten eine Beispiel-Liste anderer möglicher Ports zum angreifen : http://www-lan.uni-regensburg.de/services/filter.html
Besonder die in der lätzten Zeit beliebten RPC-Angriffe können z.b. auch den Port TCP/UDP-Port 445 für Remote-Lücken nutzen.
7) Ich empfehle Nutzern von DSL einen Router mit Hardwarefirewall(Security Router), hier werden in jedem Fall standartmässig die krititschsten aller Ports überwacht.
Bekommt man zum Beispiel hier : http://www.geizhals.at/deutschland/?such=Router
Der Filter in einem Security-Router läuft dort auf einem sepparaten System und ist sicherer.Firewalls mit IP-Tables sind einfach besser.Ausserdem : Die Resourcenlast durch Software-Wächter entfällt bei Hardware-Firewalls, schöner Nebeneffekt.Hab selber einen Security Router, also mit Firewall, hab deren Filter entsprechend konfiguriert (aufwendig leider) aber jetzt rennts.
OFFENE PORTS CHECKEN :
http://scan.sygate.com/quickscan.html
Port 135,139,445 sollten in jedem Fall besser dicht sein, sowie keine Reaktion auf den dortigen "Possible Trojans-Ports".
Ideal sollte der Status "blockiert" sein. Das zeigt an, daß die Ports nicht nur geschlossen sind, sondern vollständig vor den Angreifern versteckt.
Code:
Mein Ergebniss :
Location Service 135 : BLOCKED
NetBIOS 139 : BLOCKED
Server Message Block 445 : BLOCKED
Bei den "trojan-empfindlichen" Ports (1243-54321) muss ich aber nachbessern.Sieh auch Zitat :
"Wenn eine Firewall installiert ist, sollte diese zunächst aktiviert werden. Besonders sollte man hier auf die Ports 135, 139 und 445 achten, diese sind verstärkt für W32.Blaster und andere Angriffe anfällig. Am wichtigsten ist das Installieren des Patches von Microsoft..."
Quelle : https://www.computerbase.de/news/betriebssysteme/workaround-fuer-kritische-sicherheitsluecke.8097/
1)Remoteunterstützung von WindowsXP deaktivieren :
(Rechtsklick->Eigenschaften von Arbeitsplatz->Remote->Häckchen bei "Remoteunterstützung" rausnehmen)
2)RPC-Atacken -> PORT 135 abschalten :
Der RPC-Dienste von Windows ist durch seine Sicherheitslücken oft das Eingangstor der Schädlinge, hier sollte man vorallem den Port 135 sperren (wird zum Einleiten von RPC-Verbindungen mit einem Remotecomputer genutzt) - in WinXp kann man das über die hier schon integrierte Internet-Verbindungsfirewall :
Heist also :
Rechtsklick auf Netzwerk->Eigenschaften->Rechtsklick auf dortige Verbindung->Eigenschaften->Erweitert->dortige "Internetverbindungsfirewall" muss aktiviert sein.
Alllerdings sollte man die WinXP-Internetverbindungsfirewall durch manchmal auch dafür gedachte MS-Updates aktuell halten und eine professioneler Software-Firewall ersetzt sie sicher nicht zumal nicht Port und Applications-Konfigurierbar, da ist z.b. Zonealarm besser.
3) NetBIOS-Atacken verhindern :
Mann sollte bei solchen Sachen besser auch das NetBIOS abstellen um Port 137-139 zu schliessen, Grade der Port 139 ist immer kritisch und kann nebenbei auch von RPC-Angriffen missbraucht werden. So gehts :
Start --> Systemsteuerung --> Verwaltung --> Dienste, Rechtsklick auf TCP/IP-NetBIOS-Hilfsprogramm --> Beenden -> erneuter Rechtsklick darauf --> Starttyp : deaktiviert
Zusätzlich :
Rechtsklick auf Netzwerk->Eigenschaften->Rechtsklick auf dortige Verbindung->Eigenschaften->Klick auf "TCP/IP" ->Eigenschaften-> erweitert->"WINS" wählen -> dort das "NetBIOS über TCP/IP deaktivieren" markieren. (sperrt Port 137-139)
die meisten Angriffe gehen über die Ports 135-139 die dann alle so mal etwas geschützt sind. (geschlossen, jedoch nicht alle blockiert, je nach Firewall-Config)
4)
Datei und Druckerfreigabe in jedem Fall abschalten beim surfen z.b. um GUI-Angriffe zu verhindern :
Rechtsklick auf Netzwerk->Eigenschaften->Rechtsklick auf dortige Verbindung->Eigenschaften : Dortige Datei und Druckerfreigabe das Häckchen rausnehmen. Filesharing über entsprechende Tools ist dann allerdings nicht mehr möglich.
5) Windows-XP-Prozesse checken :
Ab und zu checken welche Prozesse grade laufen, Trojaner entlarven sich so oft, über STRG+ALT+ENTF unter "Prozesse" sollten in der Regel nur die Windowseigenen Prozesse an Diensten,etc. laufen :
IEEXPLORER.EXE
taskmgr.exe (Taskmanager)
explorer.exe (Windows-Explorer)
spoolsv.exe (Druckerbereitschafft)
pstores.exe (Protected Storage Server für IE und Outlook)
svchost.exe (mehrmals vorhanden)
lsass.exe (lokale Sicherheitsdienst,steuert die Richtlinien für User)
services.exe (Windows Service Controller)
winlogon.exe (Anmeldedienst von Windows)
csrss.exe (Kontrolle der gestarteten Anwendungen)
smss.exe (Sitzungsmanager)
System (selbsterklärend)
Leerlaufprozess (Verwaltung im Leerlauf)
(Je nach zusätzlich installierter Software können durch deren Autostarts beim Systemstart noch andere zusätzlich vorhanden sein.)
-->IST HIER ABER SEIT KURZEM EIN NEUER PROZESS DER EINEM NICHT BEKANNT IST ODER BELEGT EINER DER PROZESSE PLÖTZLICH IMMER ÜBR 90% CPU-Resourcen HEISST ES AUFPASSEN ! KANN DANN EIN GETARNTER TROJANER,etc. SEIN !
6)DAS ALLES SCHON MAL EIN GUTER ABER KEIN KOMPLETTER SCHUTZ !
Ein kompleter Schutz ist das alles leider nicht, hier unten eine Beispiel-Liste anderer möglicher Ports zum angreifen : http://www-lan.uni-regensburg.de/services/filter.html
Besonder die in der lätzten Zeit beliebten RPC-Angriffe können z.b. auch den Port TCP/UDP-Port 445 für Remote-Lücken nutzen.
7) Ich empfehle Nutzern von DSL einen Router mit Hardwarefirewall(Security Router), hier werden in jedem Fall standartmässig die krititschsten aller Ports überwacht.
Bekommt man zum Beispiel hier : http://www.geizhals.at/deutschland/?such=Router
Der Filter in einem Security-Router läuft dort auf einem sepparaten System und ist sicherer.Firewalls mit IP-Tables sind einfach besser.Ausserdem : Die Resourcenlast durch Software-Wächter entfällt bei Hardware-Firewalls, schöner Nebeneffekt.Hab selber einen Security Router, also mit Firewall, hab deren Filter entsprechend konfiguriert (aufwendig leider) aber jetzt rennts.
Zuletzt bearbeitet:
weird
Lt. Commander
- Registriert
- Mai 2001
- Beiträge
- 1.831
@b-runner:
das neustarten kann auch ganz ohne wurm passieren, nämlich wenn der rpc durch einen bufferoverflow abstürzt. dass es weitere würmer auf ähnlicher basis gibt war abzusehen. was es mit deiner firewall auf sich hat weiß ich leider nicht, aber w32.blaster nutzt dann zb noch andere ports...
@djdino:
wie ich geschrieben hatte, sind 135, 139 und 445 nur die anfälligsten, es gibt aber noch andere. der ms-patch ist dabei essentiell. es war auch schon zu lesen, dass noch eine weiter lücke bestünde, die dadurch nicht gefixed wird. also schön nach updates ausschau halten
greets, weird
das neustarten kann auch ganz ohne wurm passieren, nämlich wenn der rpc durch einen bufferoverflow abstürzt. dass es weitere würmer auf ähnlicher basis gibt war abzusehen. was es mit deiner firewall auf sich hat weiß ich leider nicht, aber w32.blaster nutzt dann zb noch andere ports...
@djdino:
wie ich geschrieben hatte, sind 135, 139 und 445 nur die anfälligsten, es gibt aber noch andere. der ms-patch ist dabei essentiell. es war auch schon zu lesen, dass noch eine weiter lücke bestünde, die dadurch nicht gefixed wird. also schön nach updates ausschau halten
greets, weird
The Prophet
Rear Admiral
- Registriert
- Aug. 2001
- Beiträge
- 5.981
RPC würde ich definitiv nicht deaktivieren da auf diesen leider viele weitere Dienste aufbauen! Auch nachzulesen bei Heise.de
Als Ports sollten 135, 137 bis 139, 445 und 593 reichen.
mfg
Als Ports sollten 135, 137 bis 139, 445 und 593 reichen.
mfg
D
DjDIN0
Gast
Ich weis, es wird aber durch die ganzen Massnahmen die ich gepostet habe kein DCOM-Interface unter RPC behindert, eher das könnte Probleme machen.
Ausserdem : Bei WinXP lassen sich so oder so nicht alle RPC-Dienste unter Einstellungen->Systemsteuerung->Verwaltung->Dienste deaktivieren weil WinXP für den Betrieb zu sehr davon abhängig, der dortige "Remoteprozeduraufruf (RPC)" unter Einstellungen->Systemsteuerung->Verwaltung->Dienste muss erhalten bleiben damit davon abhängige Dienste lokal den Service nutzen können und ist deswegen dort auch gar nicht deaktivierbar...versucht mann trotzdem brutal über den Taskmanager->Prozesser die dortige svchost.exe für verschiedene RPC-Dienste zu beenden sagt Windows das es beendet werden muss.
Zuletzt bearbeitet:
The Prophet
Rear Admiral
- Registriert
- Aug. 2001
- Beiträge
- 5.981
Da hast du schon recht, aber es zu deaktivieren ist wirklich nicht von Nöten, die Ports zu blocken ein bisschen Acht geben und den Patch zu installieren sollte völlig ausreichen.
KiNeTiXzZ
Lt. Commander
- Registriert
- März 2003
- Beiträge
- 1.998
Hi
Hab den Fehler gestern auch gehabt zum ersten mal so zwischen 16:00 und 17:00 Uhr dann noch 3 mal
Hab den Port Check mal durchlaufen lassen ergebnis es wird alles geblockt nix offen
S>YGATe Rules
Ich hab die Sygate Personal Pro drauf
Hab den Fehler gestern auch gehabt zum ersten mal so zwischen 16:00 und 17:00 Uhr dann noch 3 mal
Hab den Port Check mal durchlaufen lassen ergebnis es wird alles geblockt nix offen
S>YGATe Rules
Ich hab die Sygate Personal Pro drauf
Wallace
Cadet 3rd Year
- Registriert
- Jan. 2003
- Beiträge
- 62
Hello to All,
als kleine Ergänzung zum Thema habe ich unseren Workshop zur Wurmattacke mitgebracht:
zum Workshop
so long
Wallace
als kleine Ergänzung zum Thema habe ich unseren Workshop zur Wurmattacke mitgebracht:
zum Workshop
so long
Wallace
Ja, liegt evtl daran, dass man zuviel runterladen will und sich nach aussen zu sehr öffnet.
@AND1
Die meisten Modemuser benutzen auch kein Filesharing Programm, das machen doch wohl mehr die Flatrater. Mit 56 k einen Film runterladen ist auch nicht prickelnd und teuer wird es auch noch.
@kinetixzz16 hier gibt http://www.blitzbox.de/pd1043694458.htm?categoryId=6 es die deutsche Version zum downloaden
@Werkram mal im Ernst mit die Englische Version ist wirklich etwas schwer zu verstehen
@Werkram mal im Ernst mit die Englische Version ist wirklich etwas schwer zu verstehen
Login
Lieutenant
- Registriert
- Dez. 2002
- Beiträge
- 820
Ich dreh gleich durch!!!
Ich hab gleiches Prob gestern zum ertsne mal gehabt!
Also Firewall hat das msblast geblockt so konnte ich in ruhe den patsh saugen und istallieren. Nach dem Neustart immer noch Virus meldung und MSblast ist auch noch da. Mehrere versuche deTask zu beenden und dann msblast zu löschen scheiterten. Löschen lässt sich diese sau einfach nicht!!!
Was soll ich machen?
Ich hab gleiches Prob gestern zum ertsne mal gehabt!
Also Firewall hat das msblast geblockt so konnte ich in ruhe den patsh saugen und istallieren. Nach dem Neustart immer noch Virus meldung und MSblast ist auch noch da. Mehrere versuche deTask zu beenden und dann msblast zu löschen scheiterten. Löschen lässt sich diese sau einfach nicht!!!
Was soll ich machen?
tobytobsucht
Ensign
- Registriert
- Juli 2001
- Beiträge
- 219
@Login
Schau mal in den "Workshop" von Wallace fünf Posts über Deinem.
Damit konnte ich bei mir auch alles entfernen!
Schau mal in den "Workshop" von Wallace fünf Posts über Deinem.
Damit konnte ich bei mir auch alles entfernen!
DON
Ensign
- Registriert
- Dez. 2001
- Beiträge
- 200
hi,
also ich muss jetzt mal meinen frust und kommentar über den geistigen müll in den comments ablassen.
eigentlich sollte es beim dem virus vollkommen ausreichen, einen router zu haben (hardware router oder software router wie z.b. winroute, dass ich nutze. oder gleich linux). der virus versucht eine EINGEHENDE verbindung (ich glaub die meistens jungs und mädels in den comments sind sich darüber auch nicht klar -> eingehen, ausgehend) auf port 135 mit dem rpc dienst herzustellen. trifft er nun auf den router kommt er nicht weiter, da der router (solange vom user nichts anderes eingestellt) keine route-regel (sprich der port ist nicht auf einen anderen rechner gemapped) für das paket auf port 135 hat. und das standardverhalten (kann natürlich auch abweichen, aber eher unwahrscheinlich) bei den routern ist, dass sie das paket fallen lassen (drop). somit ist kein durchkommen möglich und der port ist nicht sichtbar, weil auch kein icmp an den absender geschickt wird. man kann natürlich auch noch zusätzlich die ports per fw explizit blocken.
für eine sachliche! diskussion und kritik stehe ich gerne zur verfügung.
DON
also ich muss jetzt mal meinen frust und kommentar über den geistigen müll in den comments ablassen.
eigentlich sollte es beim dem virus vollkommen ausreichen, einen router zu haben (hardware router oder software router wie z.b. winroute, dass ich nutze. oder gleich linux
). der virus versucht eine EINGEHENDE verbindung (ich glaub die meistens jungs und mädels in den comments sind sich darüber auch nicht klar -> eingehen, ausgehend) auf port 135 mit dem rpc dienst herzustellen. trifft er nun auf den router kommt er nicht weiter, da der router (solange vom user nichts anderes eingestellt) keine route-regel (sprich der port ist nicht auf einen anderen rechner gemapped) für das paket auf port 135 hat. und das standardverhalten (kann natürlich auch abweichen, aber eher unwahrscheinlich) bei den routern ist, dass sie das paket fallen lassen (drop). somit ist kein durchkommen möglich und der port ist nicht sichtbar, weil auch kein icmp an den absender geschickt wird. man kann natürlich auch noch zusätzlich die ports per fw explizit blocken. für eine sachliche! diskussion und kritik stehe ich gerne zur verfügung.
DON
The Prophet
Rear Admiral
- Registriert
- Aug. 2001
- Beiträge
- 5.981
DON da magst du recht haben, aber der Otto Normal User hat keinen Router egal ob Soft oder Hardware. Die Meisten nutzen sicherlich noch immer die ganz normale DFÜ Verbindung. Woraus sich auch erklären lässt warum überbwiegend Privatleute von diesem Exploit betroffen sind.
DON
Ensign
- Registriert
- Dez. 2001
- Beiträge
- 200
hallo,
stimmt, da haste recht. wobei viele rumtun sie haben den port an ihrem hw router mit fw extra nochmal geblockt usw... .
folgendes wollte ich noch erwähnen, eigentlich das wichtigste. ganz vergessen vorhin.
ne gute personal firewall (kerio personal firewall z.b.) verfährt da eigentlich auch ähnlich. solange man keine regel für die eingehende verbindung erstellt hat, wird das paket nicht durchgelassen. und dann kann man ja diese regel erstellen.... . wollte ich jetzt mal loswerden, weil die meisten wieder rumflamen, dass es nichts bringen würde. klar ist es dann schon sinnvoll, windows zu patchen...aber nur mal reintheoretisch gesagt.
stimmt, da haste recht. wobei viele rumtun sie haben den port an ihrem hw router mit fw extra nochmal geblockt usw... .
folgendes wollte ich noch erwähnen, eigentlich das wichtigste. ganz vergessen vorhin.
ne gute personal firewall (kerio personal firewall z.b.) verfährt da eigentlich auch ähnlich. solange man keine regel für die eingehende verbindung erstellt hat, wird das paket nicht durchgelassen. und dann kann man ja diese regel erstellen.... . wollte ich jetzt mal loswerden, weil die meisten wieder rumflamen, dass es nichts bringen würde. klar ist es dann schon sinnvoll, windows zu patchen...aber nur mal reintheoretisch gesagt.
