Discussie Only!!!!
Infectieproblemen behoren in een eigen topic.
Ik zit nu al ongeveer 24 uur te twijfelen of ik hier nu al een topic over moet openen of moet wachten totdat de hel compleet losbreekt.
We zijn aardig op weg naar complete chaos dus tijd lijkt me rijp.
Verhaaltje:
Ik zit bij @home, het 'fijne'(voor 99% van de users dan), is dat sinds de Lovesan-uitbraak een aantal poorten geblockt worden, waaronder 135 en 445.
Dit bemoeilijkt echter mijn onderzoek in dit opzicht.
Mijn(hardware)firewall entries zijn daarom eigenlijk relatief leeg, niet veel interessants.
Totdat ik gisteren keek en tot mijn verbazing een aardig aantal tcp 1025 probes tegenkwam, een per zoveel minuten.
Beetje rondgekeken hoe en wat --> MS04-011 - en dan voornamelijk de lsass.exe vuln.
http://www.microsoft.com/...ty/bulletin/MS04-011.mspx
Het probleem voor mij - en het geluk voor alle niet gepatchte @home abbo's - tcp 1025 staat open, maar filetransfer e.d. gebeurt via de geblockte poorten..
Ondertussen zit ik hier op een tcp 1025 probe elke paar seconde, met ook tcp 2745 probes die aanzienlijk in aantal zijn toegenomen.
N.B. Zoals al gezegd blockt @home een hele rits poorten, een ontzettend goed beeld kan ik zelf dus niet schetsen.
Hier even een kwootje van de maker van LinkLogger(firewallmonitoring app):
Ago target tcp 2745 al een tijdje(Bagle backdoor)en de nieuwere Ago's hebben ook al functionaliteit ingebakken voor de lsass.exe vuln - waar we de exploitcode op tcp 1025 nu zien.
Tot nu toe is dit slechts een(extra)waarschuwingstopic, maar dat kan nog wel eens veranderen, als de stijgende lijn zo doorgaat...
Houdt uw windows/virusscanner/firewall dus up to date!
Voor de mensen die ivm problemen de MS04-011 patches hebben uninstalled - lees dit eens door.
http://support.microsoft....aspx?scid=kb;EN-US;841382
Er zijn ook genoeg 'tools' die gebruik maken van de lsass.exe vuln - dus dat kunnen we er ook nog eens bijdenken.
Maw: Genoeg ingrediënten voor een nieuwe Lovesan/Blaster.
Neem nog eens mee dat ook hier sprake kán zijn van een automatische(60 sec)shutdown - deze keer lsasss.exe die crasht en niet svchost.exe - en je krijgt de neiging om momania alvast te roepen.
Update:
Dit is het discussietopic, open voor infectieproblemen aub een apart topic om de boel overzichtelijk te houden.
_Geen_ HijackThis logs aub.
Infectieproblemen behoren in een eigen topic.
Ik zit nu al ongeveer 24 uur te twijfelen of ik hier nu al een topic over moet openen of moet wachten totdat de hel compleet losbreekt.
We zijn aardig op weg naar complete chaos dus tijd lijkt me rijp.
Verhaaltje:
Ik zit bij @home, het 'fijne'(voor 99% van de users dan), is dat sinds de Lovesan-uitbraak een aantal poorten geblockt worden, waaronder 135 en 445.
Dit bemoeilijkt echter mijn onderzoek in dit opzicht.
Mijn(hardware)firewall entries zijn daarom eigenlijk relatief leeg, niet veel interessants.
Totdat ik gisteren keek en tot mijn verbazing een aardig aantal tcp 1025 probes tegenkwam, een per zoveel minuten.
Beetje rondgekeken hoe en wat --> MS04-011 - en dan voornamelijk de lsass.exe vuln.
http://www.microsoft.com/...ty/bulletin/MS04-011.mspx
Het probleem voor mij - en het geluk voor alle niet gepatchte @home abbo's - tcp 1025 staat open, maar filetransfer e.d. gebeurt via de geblockte poorten..
Ondertussen zit ik hier op een tcp 1025 probe elke paar seconde, met ook tcp 2745 probes die aanzienlijk in aantal zijn toegenomen.
N.B. Zoals al gezegd blockt @home een hele rits poorten, een ontzettend goed beeld kan ik zelf dus niet schetsen.
Hier even een kwootje van de maker van LinkLogger(firewallmonitoring app):
De ineens duidelijke stijging(bij mij iig)van tcp 2745 probes geeft mij reden aan te nemen dat we hier met Agobots te maken hebben.
Ago target tcp 2745 al een tijdje(Bagle backdoor)en de nieuwere Ago's hebben ook al functionaliteit ingebakken voor de lsass.exe vuln - waar we de exploitcode op tcp 1025 nu zien.
Tot nu toe is dit slechts een(extra)waarschuwingstopic, maar dat kan nog wel eens veranderen, als de stijgende lijn zo doorgaat...
Houdt uw windows/virusscanner/firewall dus up to date!
Voor de mensen die ivm problemen de MS04-011 patches hebben uninstalled - lees dit eens door.
http://support.microsoft....aspx?scid=kb;EN-US;841382
Er zijn ook genoeg 'tools' die gebruik maken van de lsass.exe vuln - dus dat kunnen we er ook nog eens bijdenken.
Maw: Genoeg ingrediënten voor een nieuwe Lovesan/Blaster.
Neem nog eens mee dat ook hier sprake kán zijn van een automatische(60 sec)shutdown - deze keer lsasss.exe die crasht en niet svchost.exe - en je krijgt de neiging om momania alvast te roepen.
Update:
Dit is het discussietopic, open voor infectieproblemen aub een apart topic om de boel overzichtelijk te houden.
_Geen_ HijackThis logs aub.
[ Voor 7% gewijzigd door Anoniem: 55140 op 03-05-2004 23:05 ]
:strip_exif()/u/8437/crop62ffca5246d8b.gif?f=community)
Ik snap je stukje wel, maar ik zie even niet wat ik er aan kan doen, behalve m'n firewall en Windows up-to-date houden. Kan ik die poort(en) niet gewoon dichtzetten, of gaan er dan meerdere dingen niet meer werken?
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community)
:strip_icc():strip_exif()/u/59535/sfox18ico.jpg?f=community)
/u/97665/Opera1_t.png?f=community)
:strip_exif()/u/71745/knipper.gif?f=community)
/u/25808/avatar_60.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
:strip_icc():strip_exif()/u/80798/crop5aa902e5a190d_cropped.jpeg?f=community)
) startte net op en regelmatig gaat het beeld trippen, om de X minuten vervalt m'n interne IP adres en verbreekt m'n router de verbinding (achter de firewall... heb nl de pc geupdate vanaf een USB modem zonder vuurmuur... stom stom stom... had ik nou maar achter m'n speedtouch 510 gebleven...) programma's sluiten spontaan af 
:strip_icc():strip_exif()/u/82549/crop64401053a760e_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/80660/crop5f6211e92ac13_cropped.jpeg?f=community)
/u/26921/zelda3.png?f=community)
/u/64936/crop560fa53296a1c.png?f=community)
/u/48525/EgyptEyes.JPG?f=community)
?
:strip_icc():strip_exif()/u/23850/aquarius.jpg?f=community)
:strip_exif()/u/14937/cover.gif?f=community)
