RPC crash/shutdown 'vraag bak'

Ik heb nu de patch geïnstalleerd plus poorten 135-139 en 445 geblockt.. nu nergens last meer van.

Strider schreef op 11 August 2003 @ 22:07:
Is hij nu wel of niet gepatched?

[afbeelding]

Sorry voor de layout, als ik het antwoord heb haal ik hem direct weg.

Hij is gepatched ja. Voorzover het tooltje werkt dan

This is a command-line tool. The output is a list of IP address sent to stout. It looks something like:

C:\>scanms.exe 192.168.0.1-192.168.0.254
192.168.0.2 [Windows XP] [ptch] [ptch] 5.6
192.168.0.5 [unknown010] [????] [VULN] 0.0
192.168.0.10 [Windows XP] [ptch] [ptch] 5.6
192.168.0.55 [Windows XP] [ptch] [ptch] 5.6
The address [192.168.0.5] has not been patched properly. Hosts are not listed if they are not listening on port 135. The output columns represent if either of the two detection techniques identified a vulnerable or unpatched system.

[ Voor 46% gewijzigd door Fantomas op 11-08-2003 22:20 ]

ik kan de patch niet installeren? Ik heb de NL windows maar als ik de patch download zegt ie verkeerde taal?

download dan de nederlandse versie ;-)

[ Voor 78% gewijzigd door Anoniem: 28377 op 11-08-2003 22:25 ]

Anoniem: 51617 schreef op 11 August 2003 @ 22:18:
ik kan de patch niet installeren? Ik heb de NL windows maar als ik de patch download zegt ie verkeerde taal?

Heb je wel de NL versie: http://download.microsoft...wsXP-KB823980-x86-NLD.exe

Normaal patch je gewoon alle PC's. Als je achter een firewall zit hoeft het niet per se, maar ik zou het zeker niet laten.

Trouwens - resultaat van tooltje unpatched:


en gepatched:



op een WindowsXP, SP1, Engelse editie.

blackd schreef op 11 August 2003 @ 22:16:
[...]

Er zijn al 2 oplossingen voor hoor.

niet voor die msblast ,

p.s. zou t kwaad kunnen om de pc nu af te sluiten en morgenvroeg weer gewoon aan te zetten???of zou de pc dan niks meer doen :-/

Greetz

Anoniem: 72809 schreef op 11 August 2003 @ 22:21:
[...]


Heb je wel de NL versie: http://download.microsoft...wsXP-KB823980-x86-NLD.exe

FF voor de compleetheid:

Op deze site te downloaden. (nederlands)

Directe download in het NL

[ Voor 23% gewijzigd door Anoniem: 34225 op 11-08-2003 22:25 ]

Anoniem: 28377 schreef op 11 August 2003 @ 22:20:
download dan de nederlandse versie ;-)

edit:

Wel handig ;-)
http://download.microsoft...wsXP-KB823980-x86-NLD.exe

was vergeten op "go" te drukken na het kiezen van dutch

Kurvers schreef op 11 August 2003 @ 22:24:
[...]


niet voor die msblast ,

p.s. zou t kwaad kunnen om de pc nu af te sluiten en morgenvroeg weer gewoon aan te zetten???of zou de pc dan niks meer doen :-/

Greetz

Msblast moet je ook weghalen. Dan is er niets meer aan de hand dus niet alleen patchen en laten draaien, tenminste lijkt me niet aardig

Is het trouwens nodig om alle computers in een thuis netwerkje (die er overigens geen last van hebben) te patchen.

Ja

Computer beheer? Hoe kom ik daar?

Start > Instellingen > Configuratiescherm > Systeembeheer > Computerbeheer

is de patch voor elke windows versie?

Alle NT based Windows vanaf v4.0 en hoger

[ Voor 49% gewijzigd door Anoniem: 44568 op 11-08-2003 22:33 ]

hmm, kheb het dus ook patch en alles al gedaan nu opzoek geweest naar de MSBLAST.exe . die zit er dus wel bij mij.. in de system32 folder en in de prefetcf folder (*.pf) .. deleten right?

Anoniem: 72809 schreef op 11 August 2003 @ 22:26:
[...]


Msblast moet je ook weghalen. Dan is er niets meer aan de hand dus niet alleen patchen en laten draaien, tenminste lijkt me niet aardig

hoe weg halen dan?? of heb ik nu ergens nie goed gelezen

Anoniem: 51617 schreef op 11 augustus 2003 @ 22:25:
[...]


was vergeten op "go" te drukken na het kiezen van dutch

Die "go" is dan ook weer geen nederlands

Anoniem: 88415 schreef op 11 August 2003 @ 22:27:
hmm, kheb het dus ook patch en alles al gedaan nu opzoek geweest naar de MSBLAST.exe . die zit er dus wel bij mij.. in de system32 folder en in de prefetcf folder (*.pf) .. deleten right?

weet t nie want die rotzooi zit ook in je register d8 ik en f-secure zegt dat t n worm is... dus zal wel andere oplossing voor komen

Mitt3nz schreef op 11 August 2003 @ 22:04:
[...]


Computer beheer? Hoe kom ik daar?

Let op! De tip gegeven door alwin-d is niet de oplossing voor je probleem! Je moet de patch hebben die hier genoemd wordt:*** LEZEN - RPC crash/ windows shutdown ***

-edit- : daar was je dus inmiddels ook achter

Off-topic: Momania, goed gedaan... Maar wat je met mijn topicstart in dit topic hebt gedaan, noem ik geen edit meer

*** LEZEN - RPC crasht/ shutdown gestart ***

[ Voor 5% gewijzigd door Cpt.Morgan op 11-08-2003 22:30 ]

Kurvers schreef op 11 August 2003 @ 22:27:
[...]


hoe weg halen dan?? of heb ik nu ergens nie goed gelezen

pagina 2 van hiero

Viper_74 schreef op 11 augustus 2003 @ 20:51:
Ja, deze melding kreeg ik dus ook 2 keer achter elkaar

En als ik nu wil inloggen begint windows te blaaten dat mijn profile corrupt is, heel fijn gvd alles weg k*nkerz**i, dat mensen gewoon voor de gein op inet lopen te kutten, ga werk zoeken ofzo, stomme noep hackertjes.

Morgen maar weer me XP opnieuw install, erg bedankt, ik neem echt zo'n bumpersticker, "ik rem niet voor hackers".

Zeg dat nou niet, dan gaan al die nurts hier weer roepen dat een hacker geen cracker is en een hacker een lief jongetje / meisje dat anderen wil beschermen tegen de boze wereld

Anyway, ik heb nog niets gemerkt? Zattie in windoos update? Want ik heb geen manuele patches geinstalleerd. Misschien houdt m'n modem het wel tegen..

[ Voor 27% gewijzigd door eamelink op 11-08-2003 22:32 ]

heb nu alles nagekeken, maar kan niks vinden wat erop wijst dat ze iets veranderd hebben ofzo.

ff grafiekje aangezet, het lijkt echter rustig te worden nu.




Groen = alle rejects
Blauw = MS RPC Rejects (poorten 135,139 en 445)

[ Voor 16% gewijzigd door Anoniem: 50683 op 11-08-2003 22:46 ]

dammit.. ik heb het ook hier... net die update gedaan en volgens mij is het over

Emmeau schreef op 11 augustus 2003 @ 20:46:
Ik begrijp niet dat er nog mensen zijn die zonder vorm van protectie (firewall) op het internet zitten.
Dat is gewoon vragen om problemen. Misschien te lui of zo... (moet wel, aangezien ze a) hun windows niet updaten en b) niet kunnen zoeken).
Wel interessant om te zien dat het zoveel voorkomt.

De windows update ben ik absoluut niet met je eens, aangezien sommige mensen (waaronder ik) nog steeds achter 56k zitten.. Ik ga dus niet 100en aan MB's met patches lopen downloaden!

[/offtopic]

Ja heb het hiero ook, ff patch gedaan, alles uit het register van "msblast.exë" gegooit, en het lijkt te werken *klopt af*

Gelukkig zal ik er momenteel geen last van krijgen Heb Zonealarm aanstaan en zit achter een router (zonder firewall, maar toch beveiligt )

Maar toch zou men zonder firewall moeten kunnen. Maar zoals te zien is in dit geval, zijn er uitschieters en zijn diegene zonder firewall meteen op de feiten gesmeten.

Lol, woei, gelukkig ben ik niet de enige met een RPC shutdown

En gelukkig is de shit weer over

Alles loopt weer naar behoren en de telefoontjes van kenissen krijg ik inmiddels in overvloed....fok, lijk wel een helpdesk

ik word toch best wel aangevallen



lijkt erop alsof et uitsluitend van @home mensen zijn.

Sabbath schreef op 11 augustus 2003 @ 22:53:
[...]
De windows update ben ik absoluut niet met je eens, aangezien sommige mensen (waaronder ik) nog steeds achter 56k zitten.. Ik ga dus niet 100en aan MB's met patches lopen downloaden!
[/offtopic]

Het is maar wat je belangrijk vind. Toen ik nog op 56k6 zat haalde ik altijd alle patches op. Ik vind een fris systeem wat belangrijker dan wat wachten.

De theorie die jij hanteert is dezelfde als : Ik geef mijn auto maar geen onderhoud, omdat ik wat minder geld heb.
En vaak gaat dit goed, alleen moet je niet gek opkijken als je ineens stil staat.

En dan is bovenstaande nog steeds geen reden om niet de zoek functie te gebruiken. 20 posts over hetzelfde probleem lijk me totaal overbodig.
Het belast het forum en de moderators onnodig.

MUSTIS schreef op 11 August 2003 @ 22:56:
ik word toch best wel aangevallen

[afbeelding]

lijkt erop alsof et uitsluitend van @home mensen zijn.

Welke Firewall is dat?

MUSTIS schreef op 11 augustus 2003 @ 22:56:
ik word toch best wel aangevallen

[afbeelding]

lijkt erop alsof et uitsluitend van @home mensen zijn.

Je hebt de patch inmiddels gedraaid?

En nee...ik heb geen @home

* MM ook niet, xs4all fast adsl

Ook chello users hebben er last van,ik heb gelukkig na het installeren van de patch en het verwijderen van msblast in system32 en prefetch xp weer draaien maar kan wel weer achteraan sluiten bij Emule

ok, heb net gezien hoe het gaat

Maar is het nu zo dat dit progje zichzelf verspreid?

Ik zie in ZoneAlarm allemaal sources staan van onder ander computers met een @home verbinding. Vooral de genen uit overijssel

Ik zelf zit in overrijssel, en heb net mijn firewall logs gechecked. Geloof het of niet, maar geen rare dingen te vinden/zien

Correctie, ik krijg ze nu ook binnen. allemaal 213.51.*.* adressen.

[ Voor 24% gewijzigd door Emmeau op 11-08-2003 23:10 ]

maar het zou dus kunnen dat het bestandje zichzelf verspreid

http://www.symantec.com/a...ata/w32.blaster.worm.html

Symtantec heeft hem ook:

W32.Blaster.Worm is a worm that will exploit the DCOM RPC vulnerability using TCP port 135. It will attempt to download and run a file, msblast.exe.

StefSOFT schreef op 11 augustus 2003 @ 23:06:
maar het zou dus kunnen dat het bestandje zichzelf verspreid

msblast is een worm, die inderdaad zichzelf zal proberen te verspreiden. Het feit dat de ellende uit overrijsel lijkt te komen, zet tot denken. Zou de infectie haard kunnen zijn


Maar dit kan nog wel eens een langdurig iets gaan worden op deze manier.

Hier trowuens ook overijsel en ook @ home

hier ook + kennis

Ik was vandaag net bezig met me laptop te installeren en om win2k zo ligt mogelijk te maken heb ik services uit lopen schakelen... zo kwam ik uiteindelijk RPC tegen en vroeg ik me af of ik die ook uit kon schakelen, omdat ik geen behoefte heb aan "remote" bewerkbare systemen...
WhizzCat riep meteen "NIET DOEN"... klopt dat? zoekwerk levert niet echt veel info op...

en gezien dit soort leaks zou et handig zijn als die zooi wel uit zou kunnen...

[ Voor 14% gewijzigd door Fludizz op 11-08-2003 23:14 ]

Emmeau schreef op 11 augustus 2003 @ 23:09:
[...]

msblast is een worm, die inderdaad zichzelf zal proberen te verspreiden. Het feit dat de ellende uit overrijsel lijkt te komen, zet tot denken. Zou de infectie haard kunnen zijn

offtopic:
als ik hier niet zou wonen zou ik zeggen: preventief ruimen

Maar dit kan nog wel eens een langdurig iets gaan worden op deze manier.

6 uur geleden is ie gespot geworden in USA, lijkt me sterk dat Overijsel dan de infectie haard is.

Dit is nog niets, de code is buggy, de echte troep gaat pas later komen.
Als je sommige doemscenario's mag geloven gaat het internet plat..

Heb trouwens net vernomen dat ook iemand die gepatched is(double checked), kwetsbaar is voor deze variant..

Ik had hem toen net ook en heb de hele avond lopen kloten met msblast.exe.. Het is eigenlijk me eigen schuld want ik gebruik nooit firewalls of virusscanners en ik hou al helemaal niet me OS up to date.. Meestal heb ik geen problemen , maar deze keer kwam ik er niet zo gemakkelijk van af. Gelukkig vond ik dit topic en het was mijn redding

Av3ng3rtje schreef op 11 August 2003 @ 23:16:
Ik had hem toen net ook en heb de hele avond lopen kloten met msblast.exe.. Het is eigenlijk me eigen schuld want ik gebruik nooit firewalls of virusscanners en ik hou al helemaal niet me OS up to date.. Meestal heb ik geen problemen , maar deze keer kwam ik er niet zo gemakkelijk van af. Gelukkig vond ik dit topic en het was mijn redding

En daarmee heb je een heleboel mensen deze zelfde ellende bezorgt:

http://www.f-secure.com/v-descs/msblast.shtml

elevator schreef op 11 augustus 2003 @ 23:20:
[...]

En daarmee heb je een heleboel mensen deze zelfde ellende bezorgt:

http://www.f-secure.com/v-descs/msblast.shtml

Alsof ik dat veroorzaak...

De worm was er al eerder dan mijn probleem en de fix trouwens ook...

[ Voor 5% gewijzigd door Av3ng3rtje op 11-08-2003 23:29 ]

Anoniem: 55140 schreef op 11 August 2003 @ 23:16:
[...]
6 uur geleden is ie gespot geworden in USA, lijkt me sterk dat Overijsel dan de infectie haard is.

Dit is nog niets, de code is buggy, de echte troep gaat pas later komen.
Als je sommige doemscenario's mag geloven gaat het internet plat..

Heb trouwens net vernomen dat ook iemand die gepatched is(double checked), kwetsbaar is voor deze variant..

over de spotting, ik bedoelde dat het een locale infectie haard hier is.

denk niet dat internet plat gaat, isp's zullen well snel de poorten dichtgooien op hun routers, en dan is het snel einde lol.

Er zijn wat problemen met bepaalde patches, maar zoals Momania al aangaf er is een site die een proggie heeft die het keurig voor je checkt.

Ok, waarom doet die patch het bij mij niet? Ik heb of de verkeerde taal (heb zelf home edition nl) of dr is een file niet goed...ik krijg dus een foutmelding van de verkeerde taal(terwijl ik wel de nl patch installeer) of ik krijg een foutmelding van een niet geldig bestand in de installer...

wat kan ik doen??
huppa, weer een foutmelding..ik wordt gek!


p.s.
Hoe zet ik de geintegreerde firewall van XP aan en helpt die wel?
thnx

[ Voor 11% gewijzigd door Anoniem: 75140 op 11-08-2003 23:29 ]

Vraagje btw, ehm... poort 135 werd toch gebruikt... is dat niet dezelfde als Windows File Sharing? ik kan die poort namelijk in me router wel dichtgooien, maar dan wil ik zeker weten dat ik dan niks van belang uitsluit... (nee, ik doe niet aan windows (printer) sharen via internet...)

Emmeau schreef op 11 August 2003 @ 23:24:
[...]


over de spotting, ik bedoelde dat het een locale infectie haard hier is.

denk niet dat internet plat gaat, isp's zullen well snel de poorten dichtgooien op hun routers, en dan is het snel einde lol.

Edit: Stel je voor dat er een worm komt die verkeer geneert op poort 80, das niet echt te filteren.

Massive DDoS olee olee

[ Voor 22% gewijzigd door Anoniem: 55140 op 11-08-2003 23:33 ]

hmm zo proberen het ook al op me router maar die is daar niet zo gevoelig voor gelukkig

poort 135 staat toch al 26 keer in incoming
ben blij dat er een router voor zit

HOE DE FUCK IS DIT MOGELIJK:

Ik draai al 9 maanden XP.
Had nog NOOOOIT van een RPC crash/shutdown gehoord of het meegemaakt

Ik kom hier vandaag voor het allereerst in WOS op GoT

en JA HOOR WAT OVERKOMT ME NET voor de eerste keer ooit:::: RPC shutdown!!

alsof het openen van de FAQ hier dat lek juist in je windows stopt

Hertog_Martin schreef op 11 August 2003 @ 23:31:
HOE DE FUCK IS DIT MOGELIJK:
Ik draai al 9 maanden XP.
Had nog NOOOOIT van een RPC crash/shutdown gehoord of het meegemaakt
Ik kom hier vandaag voor het allereerst in WOS op GoT
en JA HOOR WAT OVERKOMT ME NET voor de eerste keer ooit:::: RPC shutdown!!
alsof het openen van de FAQ hier dat lek juist in je windows stopt

Dit meen je toch niet serieus, eh

Lees het topic eens door, en neem eens verantwoordelijkheid voor je Windows.

Hertog_Martin schreef op 11 August 2003 @ 23:31:
HOE DE FUCK IS DIT MOGELIJK:

1) Je update je XP niet
2) Je hebt geen firewall

Kies maar.

wah, echt freaky shit. vooral als je bedenkt dat ik vandaag pas voor de 1e keer ging internetbankieren en dat ik toen toevallig die foutmelding voor kreeg...

kut.

DarkRider schreef op 11 August 2003 @ 23:30:
hmm zo proberen het ook al op me router maar die is daar niet zo gevoelig voor gelukkig

poort 135 staat toch al 26 keer in incoming
ben blij dat er een router voor zit

vraagje, wat voor traffic is het? TCP? UDP? ik ben bezig ff policy in firewall aan te passen...

TCP

IP Address REMACT SYSACT DCOM Version
-----------------------------------------------------
192.168.0.1 [....] [Dsbl] 0.0

Ben ik nu gepatch of niet, ik heb overigens in Norton Internet Security de poorten
135,136,137,138,139 en 445 geblokt (geloof ik, ben namelijk firewal n00b)

Ik heb ook ff alle programma's uit de firewall gehaald, om ff alles opnieuw in te stellen, maar ik kreeg net deze melding. Het is wel dat svchost.exe bestand, maar niet de poorten die ik overal zie, dus kan ik hier gewoon permit doen?

Ajaxno1 schreef op 11 August 2003 @ 23:41:
Ik heb ook ff alle programma's uit de firewall gehaald, om ff alles opnieuw in te stellen, maar ik kreeg net deze melding. Het is wel dat svchost.exe bestand, maar niet de poorten die ik overal zie, dus kan ik hier gewoon permit doen?

[afbeelding]

Als je hier geen permit op doet, houd je internet vanzelf op

Av3ng3rtje schreef op 11 August 2003 @ 23:39:
TCP

dank

elevator schreef op 11 August 2003 @ 23:42:
[...]

Als je hier geen permit op doet, houd je internet vanzelf op

Oke, ik hoop dat je niet loopt te geinen met me.

Ik kijk net in m'n firewall logs en zie dat smartftp connectie probeerde te maken met poort 135, klopt dat. Ik heb die namelijk op TCP en UDP geblokt.

Fludizz schreef op 11 augustus 2003 @ 23:36:
[...]

vraagje, wat voor traffic is het? TCP? UDP? ik ben bezig ff policy in firewall aan te passen...

Als je hier extra regels voor moet aanmaken, snap ik niet dat je je firewall een firewall durft te noemen..

Of hebben we het hier alleen over logging e.d.?

Anoniem: 55140 schreef op 11 augustus 2003 @ 23:48:
[...]


Als je hier extra regels voor moet aanmaken, snap ik niet dat je je firewall een firewall durft te noemen..

Of hebben we het hier alleen over logging e.d.?

meer als in, extra hard dichtspijkeren firewall mapt alleen poorten door die in de NAT portmap staat, rest geeft ie deny terug... maar om extra zeker te zijn heb ik er nu een extra DROP rule bijgezet...

en uiteraard ook logging erop gesmeten...

[ Voor 5% gewijzigd door Fludizz op 12-08-2003 00:01 ]

Ik heb net een mail van een hopeloze kennis gekregen die de update wilde uitvoeren en kreeg de foutmelding dat de taal niet overeen kwam met de update.
Terwijl hij 32bit gebruikte en dutch en english al eens geprobeerd heeft.
aynone ?

Hertog_Martin schreef op 11 augustus 2003 @ 23:48:
[...]


bedoel alleen maar hoe ongelofelijk toevallig het wel niet is, leer jij eens lezen

zullen we het maar even vriendelijk houden?

Hertog_Martin schreef op 11 August 2003 @ 23:50:
1) doe ik niet nee aangezien ik geen legale versie heb en verhalen hoor dat als je dan bijv sp1 installeerd je dan genaaid wordt

Dan zou ik toch serieus overwegen deze ongepatchte bak van het internet af te halen.

2) blackice draait altijd

... maar blijkbaar niet met de juiste regels.

Gelukkig nergens last van..maar wel 2 bekenden die in paniek gingen bellen
Is inmiddels uitgelegd wat te doen valt, en ik heb het geluk dat mijn poorten gewoon allemaal dicht staan. Wel voor de zekerheid gepatcht/nog een keer windows update.
Maar verwacht zelf geen problemen.

hackerz zijn fout bezig, iemand die z'n systeem niet beveiligd niet.

daarbij is het wel dom om op vakantie te gaan naar Frankrijk en je villa in Nederland niet op slot te zetten met de ramen wagenwijd los en een mooie computer op het bureau...

Ik krijg hier ook bijna allemaal @home ip nr's binnen tenminste zeer veel met 213.51.xxx.xxx,
is wel typisch of zou dat msblast zo werken??

H a N N o schreef op 11 August 2003 @ 23:55:
hackerz zijn fout bezig, iemand die z'n systeem niet beveiligd niet.

daarbij is het wel dom om op vakantie te gaan naar Frankrijk en je villa in Nederland niet op slot te zetten met de ramen wagenwijd los en een mooie computer op het bureau...

Dus omdat iemand zijn systeem niet beveiligt, en daarom een fijne agent/bot aangesmeerd krijgt, die vervolgens een onderdeel uitmaakt van een DOS attack op mijn website gaat die persoon vrijuit?

Dat is wel erg je hoofd in het zand steken. Als internet gebruiker heb je verantwoordelijkheden, niet alleen tegenover jezelf, maar ook tegenover anderen.

norton heeft m ook al gevonden: http://securityresponse.s...ata/w32.blaster.worm.html
staat ook bij hoe je m moet verwijderen

Greetz

Anoniem: 50683 schreef op 11 augustus 2003 @ 23:56:
Ik krijg hier ook bijna allemaal @home ip nr's binnen tenminste zeer veel met 213.51.xxx.xxx,
is wel typisch of zou dat msblast zo werken??

Een andere mogelijkheid is dat @home en veel andere isp's poort 135 op hun core routers blocken. Een geinfecteerde machine (bijvoorbeeld een laptop of iemand met 2 isp's) kan dan de rest van het @home netwerk infecteren wat er voor zorgt dat je alleen maar @home ip's ziet.

@home blokkeert port 135 niet. Rakapul heeft waarschijnlijk gelijk. Andere ISP's hebben de ellende mischien voorzien, en hun maatregelen getroffen?

Rukapul schreef op 11 augustus 2003 @ 23:58:
[...]

Een andere mogelijkheid is dat @home en veel andere isp's poort 135 op hun core routers blocken. Een geinfecteerde machine (bijvoorbeeld een laptop of iemand met 2 isp's) kan dan de rest van het @home netwerk infecteren wat er voor zorgt dat je alleen maar @home ip's ziet.

Bedoel je niet 139 (netbios), want er zitten wel vreemde 135's tussen, en dat zou in jouw geval dus weer niet kunnen voorkomen.

Kurvers schreef op 11 August 2003 @ 23:58:
norton heeft m ook al gevonden: http://securityresponse.s...ata/w32.blaster.worm.html
staat ook bij hoe je m moet verwijderen

Greetz

McAfee was de allereerste, met generieke detectie lijkt het, met DATs van vanmiddag, op het moment absoluut het beste als het over deze exploit gaat, want het heeft nog alles gevangen wat ik er tegenaan heb gegooid, en dat kan jammergenoeg geen enkele andere AV zeggen.

Edit: F-Prot vindt hem trouwens ook al, en daarmee F-Secure dus ook.

[ Voor 7% gewijzigd door Anoniem: 55140 op 12-08-2003 00:04 ]

Rukapul; 't lijkt er eerder op dat de worm zich alleen maar propageert binnen het subnet dat op de machine zelf is ingesteld; isp's zijn over het algemeen vrij schuchter in het dichtzetten van poorten voor gebruikers.. is hun taak ook niet (alhoewel die stelling een wespennest kan opentrekken waar ik me lievern u niet aan waag )

typisch, * Anoniem: 50683 draait liveupdate van NAV, niks nieuws.
* Anoniem: 50683 draait norton.pl (eigen update scriptje), en er wordt een update binnengehaald
(draait normaal 2x per dag)

Anoniem: 1125 schreef op 12 August 2003 @ 00:05:
Rukapul; 't lijkt er eerder op dat de worm zich alleen maar propageert binnen het subnet dat op de machine zelf is ingesteld; isp's zijn over het algemeen vrij schuchter in het dichtzetten van poorten voor gebruikers.. is hun taak ook niet (alhoewel die stelling een wespennest kan opentrekken waar ik me lievern u niet aan waag )

Dat lijkt alleen maar zo, IP's worden toch random uitgekozen.

Schouw: de mcafee .dat van 6 augustus detecteert de huidige worm ook al....

Anoniem: 1125 schreef op 12 August 2003 @ 00:06:
Schouw: de mcafee .dat van 6 augustus detecteert de huidige worm ook al....

Hele sterke generieke detectie, mja, McAfee gebruikt wel trucjes..
Dus eigenlijk is het geen generieke detectie imo, een file hoeft maar aan een bepaald criterium te voldoen en het wordt al als een virus bestempeld..

Anoniem: 1125 schreef op 12 augustus 2003 @ 00:05:
Rukapul; 't lijkt er eerder op dat de worm zich alleen maar propageert binnen het subnet dat op de machine zelf is ingesteld

Zoals je hier kunt lezen, is dat niet het geval. Er wordt een random IP gekozen.

blackd schreef op 12 August 2003 @ 00:10:
[...]

Zoals je hier kunt lezen, is dat niet het geval. Er wordt een random IP gekozen.

ok ok... maar hij scant wel degelijk subnets af daarna

Ik heb het even met een proefPC'tje getest: binnen 2 minuten online geïnfecteerd. Dus mensen: updaten!

Werkt een oliedomme ADSL router niet genoeg?
er moet dan immers iets met poort forwarding gedaan worden, persoonlijk heb ik er geen last van omdat ik linux draai, maar me huisgenoot draait wel windows xp, kan hij geïnfecteerd raken ook al worden de genoemde poorten gedropt door onze router?

LightYears schreef op 12 August 2003 @ 00:32:
Werkt een oliedomme ADSL router niet genoeg?
er moet dan immers iets met poort forwarding gedaan worden, persoonlijk heb ik er geen last van omdat ik linux draai, maar me huisgenoot draait wel windows xp, kan hij geïnfecteerd raken ook al worden de genoemde poorten gedropt door onze router?

Volgens mij zou dat 'veilig' moeten zijn, tenzij je huisgenoot zijn bak in de DMZ heeft hangen.
Maar voor de zekerheid altijd patchen.

LightYears schreef op 12 augustus 2003 @ 00:32:
Werkt een oliedomme ADSL router niet genoeg?

Dat werkt goed. Tenzij je (zoals je zelf al aangeeft) de poorten wel gemapped hebt. Maar dan moet je dus expliciet die poorten mappen en dat zal hopelijk niet zo snel gebeuren.

Edit: Of idd DMZ/defserver optie aangegeven (maar dat is in feite _alle_ poorten mappen)

[ Voor 13% gewijzigd door blackd op 12-08-2003 00:34 ]

Hier ff een lijstje met wat er bij mij al gescant is in een half uur (waaronder ik zelf sta )

Time, Event, Intruder, Count
12-8-2003 0:33:48, TCP_Probe_MSRPC, kunde0414.fredrikstad.alfanett.no, 1
12-8-2003 0:31:50, TCP_Probe_MSRPC, COMPAQ-45XL0QKN, 1
12-8-2003 0:30:52, TCP_Probe_MSRPC, uds211-49.dial.hccnet.nl, 1
12-8-2003 0:29:45, BlackICE detection started, 0.0.0.0, 1
12-8-2003 0:27:37, BlackICE detection stopped, 0.0.0.0, 1
12-8-2003 0:26:41, TCP_Probe_HTTP, 0008A126EEC4, 3
12-8-2003 0:23:37, TCP_Probe_MSRPC, uds21-60.dial.hccnet.nl, 2
12-8-2003 0:20:44, TCP_Probe_Sub7, c-24-130-234-218.we.client2.attbi.com, 1
12-8-2003 0:20:37, TCP_Probe_MSRPC, 207-172-111-127.c3-0.crm-ubr3.crm.ny.cable.rcn.com, 1
12-8-2003 0:16:08, UDP_Probe_TFTP, uds13-52.dial.hccnet.nl, 5
12-8-2003 0:15:46, TCP_Probe_MSRPC, AAADY, 2
12-8-2003 0:15:37, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:15:30, UDP_Probe_TFTP, uds13-52.dial.hccnet.nl, 1
12-8-2003 0:15:27, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:15:07, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:15:05, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:14:56, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:14:41, TCP_Probe_MSRPC, 61.76.123.138, 2
12-8-2003 0:14:22, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:14:16, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:13:49, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:13:46, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:13:26, TCP_Probe_MSRPC, PLANTE-P0EKU4WK, 1
12-8-2003 0:13:19, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:13:15, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:13:01, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:12:27, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:11:47, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:11:45, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:11:38, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:11:22, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:11:01, MSRPC_RemoteActivate_Bo, janax, 1
12-8-2003 0:03:48, TCP_Probe_HTTP, 00306E1CAA15, 2
12-8-2003 0:03:32, TCP_Probe_MSRPC, PLANTE-P0EKU4WK, 2
12-8-2003 0:02:05, TCP_Probe_MSRPC, MARK-VG0IB8IX3M, 1
12-8-2003 0:00:09, TCP_Probe_MSRPC, m115.net81-64-213.noos.fr, 1
11-8-2003 23:55:43, TCP_Probe_Sub7, PAMSCOMPUTER, 3
11-8-2003 23:55:03, TCP_Probe_MSRPC, MATTHIAS, 1
11-8-2003 23:54:43, TCP_Probe_Sub7, YOUR-PA86Z1I3G7, 3
11-8-2003 23:52:20, TCP_Probe_MSRPC, uds39-60.dial.hccnet.nl, 1
11-8-2003 23:52:01, TCP_Probe_MSRPC, fia223-18.dsl.hccnet.nl, 1
11-8-2003 23:51:57, TCP_Probe_MSRPC, GERARD, 1
11-8-2003 23:50:48, TCP_Probe_MSRPC, HOLLYWOO-QBOYSZ, 1
11-8-2003 23:50:30, TCP_Probe_MSRPC, MICHAEL1, 1
11-8-2003 23:42:25, TCP_Probe_MSRPC, RAE-HEWURN28HRL, 1
11-8-2003 23:39:06, MSRPC TCP port probe, kunde0326.sandefjord.alfanett.no, 2
11-8-2003 23:30:22, MSRPC TCP port probe, NELLIE, 2

Mijn excuses voor de topic die ik had geopend. Maar ik heb het nu in orde, wel na 5 keer Windows XP opnieuw installeren. Heb nu wel na 40 minuten 40 attacks gehad zegt mijn firewall. Windows 98 heeft geen problemen bij mij, met alleen de eerst service pack. Maar ik ga hem dadelijk helemaal updaten. Plus een firewall installeren

LightYears schreef op 12 August 2003 @ 00:32:
kan hij geïnfecteerd raken ook al worden de genoemde poorten gedropt door onze router?

Alleen als hij er zelf voor kiest de file te executen, maar zo is alles ok.

LightYears schreef op 12 August 2003 @ 00:32:
Werkt een oliedomme ADSL router niet genoeg?
er moet dan immers iets met poort forwarding gedaan worden, persoonlijk heb ik er geen last van omdat ik linux draai, maar me huisgenoot draait wel windows xp, kan hij geïnfecteerd raken ook al worden de genoemde poorten gedropt door onze router?

Patchen is altijd beter. Een combinatie van deze worm, met een andere is geen ondenkbare situatie, en kan alsnog voor veel problemen zorgen. Altijd patchen dus.

hmm wat is nou echt een relaxte firewall ? ik heb nu die van F-Secure ..

Gewoon altijd patchen, zo ben je nl. ook veiliger indien eerst je router attacked wordt. Overigens zijn er ook mensen met routers die ook besmet zijn (maar dat zegt meer over die mensen/configuratie dan over de router)....

wat is nou echt een relaxte firewall ? ik heb nu die van F-Secure ..

Een admin maakt of breekt een goede/slechte firewall.
Zie: Welke Firewall? en hoe configureren?

[ Voor 86% gewijzigd door Anoniem: 44568 op 12-08-2003 00:44 ]

blackd schreef op 12 augustus 2003 @ 00:34:
[...]

Dat werkt goed. Tenzij je (zoals je zelf al aangeeft) de poorten wel gemapped hebt. Maar dan moet je dus expliciet die poorten mappen en dat zal hopelijk niet zo snel gebeuren.

Edit: Of idd DMZ/defserver optie aangegeven (maar dat is in feite _alle_ poorten mappen)

neuh er zijn alleen wat poorten gemapped voor de ftp server, wel te verstaan 20 en 21 en ook dat is een linux bak.
succes voor de mensen die er wel last van hebben

Het wordt hier wat minder nu, maar morgen zal de hel wel losbarsten, dan is het virus goed verspreid, en de compu's in nl weer aan.

Anoniem: 44568 schreef op 12 augustus 2003 @ 00:36:
Gewoon altijd patchen, zo ben je nl. ook veiliger indien eerst je router attacked wordt. Overigens zijn er ook mensen met routers die ook besmet zijn....

interesting; poort 135 en 445 zouden uberhaupt niet open moeten staan op pc's met een internet verbinding, dus wat komt eerst? een goede beveiliging of goed en tijdig patchen?

Anoniem: 88415 schreef op 12 August 2003 @ 00:35:
hmm wat is nou echt een relaxte firewall ? ik heb nu die van F-Secure ..

Ik heb zelf BLack ice draaien maarja dies natuurlijk niet gratis maar die back trace die er bij zit is wel heel erg mooi

en hij werkt echt mega goed imho

interesting; poort 135 en 445 zouden uberhaupt niet open moeten staan op pc's met een internet verbinding

De worm komt binnen via 4444 tftp, poort 135 had ook een andere kunnen zijn...

dus wat komt eerst? een goede beveiliging of goed en tijdig patchen?

Een goede OS installatie mét patches, daarna kun je nl. pas je software installeren...

[ Voor 75% gewijzigd door Anoniem: 44568 op 12-08-2003 00:52 ]

Anoniem: 1125 schreef op 12 August 2003 @ 00:39:
[...]


interesting; poort 135 en 445 zouden uberhaupt niet open moeten staan op pc's met een internet verbinding, dus wat komt eerst? een goede beveiliging of goed en tijdig patchen?

Beveiliging, zie ook hier, met een patch die half werkt..
Dan heb je nog altijd van die IE exploits die wel gecovered worden door bepaalde AVs, maar niet door MS...

Maar beide is natuurlijk het beste.