RPC crash/shutdown 'vraag bak'

elevator schreef op 11 August 2003 @ 20:44:
Je kan de shutdown meestal overigens afbreken door middel van:

code:

1	shutdown /a

Het mag trouwens opgemerkt worden dat als je nog steeds vatbaar bent voor deze exploit, na de ongelovelijke aandacht die deze bug heeft gehad, dat je dan misschien beter niet op internet kan komen

Anoniem: 33568 schreef op 11 August 2003 @ 20:48:
En inmiddels is het hier ook aan de gang...

2x achter elkaar een Rpc foutmelding.... Zonealarm net ff geinstalled en ja hoor, attacks om de 2 minuten....

Zag net wel iets vreemds in mijn processen.. msblast.exe anyone?

Hoop dat de patch dit toch wel even tegenhoudt

[ Voor 68% gewijzigd door Anoniem: 45837 op 11-08-2003 20:50 ]

Anoniem: 45837 schreef op 11 August 2003 @ 20:49:
Jezus
ik heb dit altijd in de avond niet normaal
net maar eens die patch geinstalleer kijken of dat helpt


[...]

Msblast.exe staat hier ook mischien betekent het Micorsoftblast

Viper_74 schreef op 11 August 2003 @ 20:51:
Ja, deze melding kreeg ik dus ook 2 keer achter elkaar

En als ik nu wil inloggen begint windows te blaaten dat mijn profile corrupt is, heel fijn gvd alles weg k*nkerz**i, dat mensen gewoon voor de gein op inet lopen te kutten, ga werk zoeken ofzo, stomme noep hackertjes.

Morgen maar weer me XP opnieuw install, erg bedankt, ik neem echt zo'n bumpersticker, "ik rem niet voor hackers".

[ Voor 17% gewijzigd door Anoniem: 50683 op 11-08-2003 20:53 ]

Viper_74 schreef op 11 August 2003 @ 20:51:
En als ik nu wil inloggen begint windows te blaaten dat mijn profile corrupt is, heel fijn gvd alles weg k*nkerz**i, dat mensen gewoon voor de gein op inet lopen te kutten, ga werk zoeken ofzo, stomme noep hackertjes.

Viper_74 schreef op 11 August 2003 @ 20:51:
Morgen maar weer me XP opnieuw install, erg bedankt, ik neem echt zo'n bumpersticker, "ik rem niet voor hackers".

Viper_74 schreef op 11 August 2003 @ 20:51:
Ja, deze melding kreeg ik dus ook 2 keer achter elkaar

En als ik nu wil inloggen begint windows te blaaten dat mijn profile corrupt is, heel fijn gvd alles weg k*nkerz**i, dat mensen gewoon voor de gein op inet lopen te kutten, ga werk zoeken ofzo, stomme noep hackertjes.

Morgen maar weer me XP opnieuw install, erg bedankt, ik neem echt zo'n bumpersticker, "ik rem niet voor hackers".

Viper_74 schreef op 11 August 2003 @ 20:53:
Helpt ook niet tegen die RPC, maar wel tegen een corrupt profile, aangezien ik mijn profiel niet meer kan gebruiken kan ik net zo goed alle shit opnieuw installeren.

[ Voor 18% gewijzigd door Anoniem: 50683 op 11-08-2003 21:00 ]

elevator schreef op 11 August 2003 @ 20:55:
[...]

Dan neem ik er een die zegt: "Ik rem niet voor irritante n00bs die te lui zijn om hun systeem te updaten maar wel klagen op een fora"

Anoniem: 33568 schreef op 11 August 2003 @ 20:57:
Sterker nog vertellen dat Msblast.exe probeert constant iets te doen met verschillende poortjes bij mij...stuurt pakketjes rond naar onbekende ip-adressen?

Viper_74 schreef op 11 augustus 2003 @ 20:58:
En trouwens ik vind het zelf nog steeds zo'n bullshit dat je zelf je systeem moet gaan beveiligen omdat "domme" mensen die op zielige forumpjes hangen lekker gaan lopen te scripten op het internet.

Viper_74 schreef op 11 August 2003 @ 20:58:
[...]


Ik wil niet lopen te zeiken, maar hoor je mij klagen over die RPC dan, NEEJ noobje, lezen. Ik loop te zeuren dat mijn XP me profiel ff door me anus baggurt. Dat het toevallig net komt omdat iemand met een RPC loopt te kutten, tja da's gewoon klotig.

En trouwens ik vind het zelf nog steeds zo'n bullshit dat je zelf je systeem moet gaan beveiligen omdat "domme" mensen die op zielige forumpjes hangen lekker gaan lopen te scripten op het internet. Ze moeten gewoon van je zooi afblijven. Ik vind wel dat sinds iedreen een vaste internet verbinding heeft er echt veel van die noepjes rondhangen. Ze moeten gewoon iedereen een vast ip geven, lopen ze te rellen, opzoeken die gasten en afsluiten, of boete ofzo.
Irritant volk

[ Voor 5% gewijzigd door Anoniem: 89271 op 11-08-2003 21:02 ]

elevator schreef op 11 August 2003 @ 20:58:
[...]

Kan je er dan niet beter iets tegen doen, ipv dit te melden op het forum?

Trek bv. je netwerk kabel eens uit net zolang tot je fatsoenlijk gefirewalled bent, schoon bent van trojans, en je de juiste patches geupdate hebt.

Viper_74 schreef op 11 August 2003 @ 20:58:
Ik wil niet lopen te zeiken, maar hoor je mij klagen over die RPC dan, NEEJ noobje, lezen.

Ik loop te zeuren dat mijn XP me profiel ff door me anus baggurt. Dat het toevallig net komt omdat iemand met een RPC loopt te kutten, tja da's gewoon klotig.

En trouwens ik vind het zelf nog steeds zo'n bullshit dat je zelf je systeem moet gaan beveiligen omdat "domme" mensen die op zielige forumpjes hangen lekker gaan lopen te scripten op het internet.

blahblahblah

Anoniem: 33568 schreef op 11 August 2003 @ 21:00:
[...]
Chill out....heb firewalletje lopen dus er gebeurt tot nu toe niks...

Ik wil er alleen zien achter te komen of dit eventueel verband heeft, want Msblast.exe heb ik nog nooit gezien in mijn processes!

Zo te horen hebben meer mensen het...

elevator schreef op 11 August 2003 @ 21:03:
[...]

Wat je dan het beste kan doen, is deze file opsturen naar de verschillende anti-virus labs, en Cert.org.

www.sophos.com
www.f-secure.com
www.norton.com
www.cert.org

Van Sophos en F-Secure weet ik uit ervaring dat ze je op de hooget houden van hun bevindingen. Vooral deze laatste twee staan er om bekend zeer snel en professioneel hiermee om te gaan.

Anoniem: 45837 schreef op 11 August 2003 @ 21:06:
Volgens mij helpt de patch
Gister had ik het steeds om het kwartier (tot nu toe niet meer,afkloppen )

ik heb net pas zonealarm geinstalleert
en als je je afvraagt waarom nu pas?
omdat het niks helpt want paar dagen geleden ook geinstalleert en kreeg nog die error
en ik had ook me virusscanner en the cleaner laten draaien en die konden niks vinden

Viper_74 schreef op 11 August 2003 @ 21:07:
Dus niet zo enorm lopen te blazen over jij bent noep, en je moet je systeem bijhouden, want dat snapte ik ook nog wel. Alleen het feit dat shudown je systeem profiel blijkbaar om zeep helpt, tja.

[ Voor 7% gewijzigd door elevator op 11-08-2003 21:10 ]

Anoniem: 33568 schreef op 11 August 2003 @ 21:10:
Hey guys,

Kap dat kibbelen en laten we er achter zien te komen wat het allemaal is!

[ Voor 12% gewijzigd door Anoniem: 50683 op 11-08-2003 21:13 ]

Wat ik niet uit de info kan halen is, zodra iemand deze melding krijgt, ben je dan gelijk "gehacked" ?

[ Voor 255% gewijzigd door Anoniem: 44568 op 13-08-2003 20:43 ]

Anoniem: 50683 schreef op 11 augustus 2003 @ 21:11:
[...]


Dat vind ik nu ook.

Wat ik niet uit de info kan halen is, zodra iemand deze melding krijgt, ben je dan gelijk "gehacked" ?

* Anoniem: 50683 Denkt dat ie het morgen na het werk erg druk krijgt met z'n kenissenkring....

Anoniem: 50683 schreef op 11 August 2003 @ 21:11:
[...]


Dat vind ik nu ook.

Wat ik niet uit de info kan halen is, zodra iemand deze melding krijgt, ben je dan gelijk "gehacked" ?

* Anoniem: 50683 Denkt dat ie het morgen na het werk erg druk krijgt met z'n kenissenkring....

[ Voor 14% gewijzigd door Anoniem: 45837 op 11-08-2003 21:15 ]

elevator schreef op 11 augustus 2003 @ 21:13:
Wat er gebeurt is dat er een process misbruikt wordt om SYSTEM rechten te krijgen op jouw systeem. De SYSTEM user heeft meer rechten op jouw PC, dan jij als Administrator.

De exacte scriptkiddie tool die hier gebruikt wordt kennen we nog niet, en dus is het moeilijk te zeggen wat er precies gebeurt. Zoals een aantal mensen hier zeggen zien ze het process MSBLAST.EXE er tussenstaan - dit zou er op kunnen wijzen dat ze inderdaad de bug succesvol uitbuiten, en dus dat ze je PC "gehacked" hebben.

Anoniem: 33568 schreef op 11 August 2003 @ 21:15:
Nog mooier,
Kill het proces en weg blijft het....
Totdat je opnieuw boot

1
2

cd %systemroot%
findstr /s /i /c:"msblast" *.ini

1
2

cd %userprofile%
findstr /s /i /c:"msblast" *.*

Op eigen risico, uiteraard

[ Voor 59% gewijzigd door Emmeau op 11-08-2003 21:26 ]

Anoniem: 33568 schreef op 11 August 2003 @ 21:13:
[...]


Jij toevallig ook msblast.exe in je processen cq System32 folder staan?

Of beter gezegd: Wie heeft deze allemaal draaien plotseling op zijn systeem??

Maarja, meteen poorten 135,139 en 445 dichtgegooid.. zijn er nog andere die dichtmoeten ivm deze exploit?

To exploit this vulnerability, the attacker would require the ability to send a specially crafted request to port 135, 139, or 445 or any other specifically configured RPC port on the remote machine.

[ Voor 33% gewijzigd door Anoniem: 44568 op 11-08-2003 21:28 ]

[ Voor 5% gewijzigd door Mitt3nz op 11-08-2003 21:29 ]

henkyyyyyyy schreef op 11 August 2003 @ 21:30:
Even een vraagje jongen , hoe komt dat nou ineens dat zoveel mensen tegelijkertijd er last van hebben?

henkyyyyyyy schreef op 11 August 2003 @ 21:30:
Even een vraagje jongen , hoe komt dat nou ineens dat zoveel mensen tegelijkertijd er last van hebben?

Mitt3nz schreef op 11 augustus 2003 @ 21:29:
Uhh sorry.. ik ben een beetje een n00b wat dit betreft

Ik laat mn firewall alles blocken op een paar programma's die ik zelf gebruik na + DNS .. is dat goed genoeg?

Mitt3nz schreef op 11 August 2003 @ 21:34:
Ok.. krijg dus nu een zooi hits binnen op die "verboden" ports..

Kan ik die IP's ergens reporten ofzo?

Mitt3nz schreef op 11 augustus 2003 @ 21:34:
Kan ik die IP's ergens reporten ofzo?

MUSTIS schreef op 11 August 2003 @ 21:34:
hijs dwars door me firewall heengegaan. kzat midden in een spel dus ik moest wel ja doen.

[ Voor 24% gewijzigd door Anoniem: 50683 op 11-08-2003 21:38 ]

MUSTIS schreef op 11 August 2003 @ 21:34:
hijs dwars door me firewall heengegaan. kzat midden in een spel dus ik moest wel ja doen.

Emmeau schreef op 11 August 2003 @ 21:33:
[...]


Waarom blokkeer je DNS? tenzij je een eigen DNS service runt die voor de buitenwereld toegankelijk moet zijn?

Xhale schreef op 11 August 2003 @ 21:39:
Ik weet ook niet wat het is, maar ik ga het dus ook druk krijgen, al 2 in de kennisen kring met dit probleem. Met 1 even aan de telefoon gezeten, en inderdaad die msblast.exe erop. Maar na het stop zetten van process, krijg je nog steeds dat afsluit scherm. Morgen er maar naar toe om zelf eens erachter te zitten. Maar stiekem hoop toch wel dat dan al een fix voor is die ik zelf thuis kan downloaden. want echt vrolijk van de 56k lijntjes word ik niet

Xhale schreef op 11 August 2003 @ 21:39:
Maar stiekem hoop toch wel dat dan al een fix voor is die ik zelf thuis kan downloaden. want echt vrolijk van de 56k lijntjes word ik niet

1
2
3
4
5
6
7
8
9
10
11

Filter network traffic
Sites are encouraged to block network access to the RPC service at network
borders. This can minimize the potential of denial-of-service attacks originating
from outside the perimeter. The specific services that should be blocked include

135/TCP 
135/UDP 
139/TCP 
139/UDP 
445/TCP 
445/UDP

[ Voor 143% gewijzigd door Anoniem: 50683 op 11-08-2003 21:52 ]

Anoniem: 50683 schreef op 11 August 2003 @ 21:45:
443 ?? da's https ?
Ik las net toch echt 443 ???

Anoniem: 72809 schreef op 11 August 2003 @ 21:47:
Trouwens iemand enig idee of zeg maar de hele wereld er last van heeft?

Emmeau schreef op 11 August 2003 @ 21:36:
[...]


Tijd voor een a) goede firewall of b) betere configuratie.

[ Voor 14% gewijzigd door MUSTIS op 11-08-2003 21:55 ]

elevator schreef op 11 August 2003 @ 21:45:
[...]

Vermoeden is dat het programma wat geinstalleerd wordt zelf een trojan is. Je gaat dus als het ware jezelf rapporteren (want toen jij dat programma draaide, was je zelf ook pc's aan het infecteren geweest)

Anoniem: 50683 schreef op 11 August 2003 @ 21:45:
443 ?? da's https ?
Ik las net toch echt 443 ???

maargoed wa's dit dan:

code:

1 2 3 4 5 6 7 8 9 10 11

Filter network traffic Sites are encouraged to block network access to the RPC service at network borders. This can minimize the potential of denial-of-service attacks originating from outside the perimeter. The specific services that should be blocked include 135/TCP 135/UDP 139/TCP 139/UDP 445/TCP 445/UDP

momania schreef op 11 August 2003 @ 21:48:
[...]

Kijk voor de gein eens onderin Windows Operated Systems

Anoniem: 87260 schreef op 11 August 2003 @ 21:52:
Anders moet je naar computer beheer gaan, daar staat een service... Remote Procedure Call (RPC) en dan staat er bij wat je pc moet doen.. bijv. First failure: Restart Computer second failure etc... dat kun je allemaal uitzetten

[ Voor 14% gewijzigd door Anoniem: 86479 op 11-08-2003 22:00 ]

Anoniem: 72809 schreef op 11 August 2003 @ 21:56:
[...]


Bedoelde niet alleen Nederland, heb in de gaten dat het hier ene grote lol is
Maar bedoelde meer is het op dit moment ook errug hot over de hele wereld? Of is dat al een beetje geweest? Aangezien het al per 16-07 ontdekt is.

Ben nog niet eerder met zo'n trojan in aanraking geweest, vandaar denk ik.

F-Secure is currently analysing a possible new RPC worm, known currently as MSBLAST.

This 6176 byte executable contains about 11kB of uncompressed code, which apparently exploits the MS03-026 DCOM/RPC hole,"Buffer Overrun In RPC Interface", http://www.microsoft.com/...ity/bulletin/MS03-026.asp This vulnerability was discovered on July 16th, 2003.

The worm contains these texts:


I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

The worm adds a key called "windows auto update" to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[ Voor 83% gewijzigd door elevator op 11-08-2003 22:03 ]

Anoniem: 87260 schreef op 11 August 2003 @ 21:52:
Anders moet je naar computer beheer gaan, daar staat een service... Remote Procedure Call (RPC) en dan staat er bij wat je pc moet doen.. bijv. First failure: Restart Computer second failure etc... dat kun je allemaal uitzetten

[ Voor 57% gewijzigd door Strider op 11-08-2003 22:23 ]

elevator schreef op 11 August 2003 @ 22:01:
F-Secure heeft hem gevonden: http://www.f-secure.com/v-descs/msblast.shtml


[...]

martijnf schreef op 11 August 2003 @ 22:10:
jah die tekst was ik ook al achter paar bladzijdes terug maar kon niet alles ontcijferen

Kurvers schreef op 11 August 2003 @ 22:15:
khoop snel dat hier n oplossing voor komt