Neuartiger Wurm: „W32.BLAST“

    @QP

    Jeder Privatmann (oder Frau) der im Internet surft, sollte sich ein bisserl mehr gedanken um Sicherheit machen.

    In grossen Unternehmen (wie zum Beispiel Daimler-Chrysler) dauert es meist sehr lange bis es durch alle relevanten Hände gelaufen ist.

    Dann gibt es auch immer noch die User, welche meinen:

    oooooch nöööö, schon wieder ein blödes Update, dazu habe ich jetzt aber gar keine Lust. Oder welche, die den Rechner schon seit Wochen nicht mehr an hatten. usw. usw.

    Aber auch DC ist schlauer geworden. Wichtige Updates werden angekündigt, und nach gewissser Zeit einfach installiert. Ob der User will oder nicht. Danach hat er 2 Minuten Zeit alles zu schliessen, bevor der Rechner neu startet.

    Na also, geht doch. Es muss halt immer erst was passieren.

    Grüsse aus dem immer noch viel zu heissen Sindelfingen

    michi_k schrieb am Wed, 13 August 2003 18:55

    ah, Frage war so gemeint: würde nur eine Firewall oder ein Router genügen??



    die meisten 0815 Firewalls und router funktionieren ganz einfach
    von aussen alles dicht nach innen,
    von innen alles auf nach aussen ....

    von daher musst du bestimmt den Port 135 explitit sperren ..

    die wenigsten Firewalls sind so konfiguriert dass erstmal ALLES gesperrt ist, dann geht nämlich "plug and play" nicht,
    weil da der user erstmal konfigurieren muss ...

    warum der Wurm aber Port 135 und nicht 80 oder 8080 benutzt versteh ich nicht Wink
    die sind nämlich fast immer offen fürs internetsurfen

    Joe

    Klaro, aber wenn der Wurm von aussen angreift kommt er nicht auf den Rechner wenn eine Firewall dazwischen ist und nichts einfach routet.. (Sorry, bin nicht vom Fach...)

    Habe Port 133-146 gesperrt, wusste nicht mehr genau was ich sperren muss...

    äh, kann man einen Switch nicht auch so einstellen das er Port 135 nicht mehr Routet?? Dann wär doch das Problem in einer grösseren Firma auch gelöst, oder?? Ok, gibt auch arbeit wenn man 1000 Switchs hat... Surprised (wie geasgt, ich bin nicht vom Fach, nur Hobby PC Schrauber...) Rolling Eyes

    Das ist halt das Problem mit den Switches. Da kannst du meist gar nichts sperren, die verteilen nur. Bei ganz schlauen Switches kannst IP-Addressen oder IP-Ranges sperren, aber immer noch keine Ports.

    Die Router die man Standardmässig im Handel bekommt, weil ein eifriger Verkäufer meint, das wäre das beste vom besten, bieten noch nicht mal die Möglichkeit einer Portkonfiguration.

    Die meisten haben NAT integriert und das wars.
    (NAT = Network Adress Translation)
    Die macht zwar viel dicht, aber nicht alles.
    Wenn man wissen willst, was noch offen ist, benötigt man einen Portscanner
    "kann mann sich aus dem Internet laden".

    Ich bevorzuge die Kombination aus Router (mit NAT) und Softwarefirewall (Norton: hier kann mann explizit ohne grossen Aufwand und wissen alles sperren und öffnen; Emule z.B.) Twisted Evil

    Auf das wir jetzt, da das grosse Wissen uns in diesem Thread heimgesucht hat, sicher sind.

    LaughingLaughingLaughingLaughingLaughingLaughingLaughingLaughingLaughing

    QP schrieb am Wed, 13 August 2003 19:01

    So Leute, jetzt lach ich mir aber ins Fäustchen!!!!!!
    "Waseliwas" hat QP am 31. Juli hier gepostet????
    Drum habe ich diesen Beitrag auch geschrieben!!!!



    Hi QP, (oder soll ich sagen Kassandra?)

    Ich finde diese Platform immer noch die falsche für generelle Viren und Würmerwarnungen. Alle paar Monate wird eine besonderes schwerwiegende Lücke in MS Systeme bekannt. Jedesmal, auch bei "kleinen" Lücken, HIER die Leute darauf hinzuweisen finde ich falsch.
    Seit einer Woche ist das aber anders. Jetzt hat der Wurm flächendeckend zugeschlagen - und da vermutlich viele Leser des Formus direkt am DSL hängen und Port 135 bei ihnen geöffnet ist macht es schon Sinn sich darüber zu unterhalten.
    Aber wie Du an den Reaktionen vor 2 Wochen sehen kannst warst Du zu früh Wink
    Ich kann nur jedem empfehlen eine "perosnal Firewall" auf seinem PC oder einen Router für DSL/ISDN zu verwenden und den automatischen Update Service von MS Windows zu nutzen, dann ist man vor Würmern relativ sicher.
    LandOchs

    @clandos
    Ich bin ganz deiner Meinung bezüglich falsches Forum.
    Aber diese damals dokumentierte Sicherheitslücke war 1. sehr gravierend, (diverse Communities wiesen sehr warnend auf diese Sicherheitslücke hin) 2. wurde ich auch via persönliche Mail darauf hin gewiesen und 3. konnte ich dadurch noch rechtzeitig reagieren. Drum dachte ich mir: teile dieses Wissen!
    Ich gehöre sonst auch nicht zu den Panikmachern, aber anscheinend verleiten die Betriebssysteme W2k und XP schon etwas zu einem ungerechtfertigten Gefühl da kann nix mehr passieren.

    Habe gestern den ganzen Tag gebüsst, dass ich doch noch verschiedene Leute nicht auf diese Sicherheitslücke aufmerksam machte und durfte deshalb einige PC's wieder in Stand bringen!

    Drum sind meine Worte ev. etwas gar hart ausgefallen gestern abend!
    War nicht so böse gemeint, wie's eventuell getönt hat. Cool
    Nod

    @QP und Clandos

    Die Virenproblematik kann man nie ernst genug nehmen. Besser mal eine Mail oder ein Posting zu viel abgesetzt, als nachher in die Röhre zu schauen.

    Ich jedenfalls werde aus gegebenem Anlass alle Bekannten, von denen ich weis, das Sie eigentlich keine Ahnung von Ihren Systemen haben, früzeitig informieren.

    Ich hoffe nur, das jetzt alle den Patch haben, denn mit "BACKDOOR" käme jetzt der Hammer auf Sie zu.

    Grüsse eines Virengestressten Admins

    E-M_S2K schrieb am Thu, 14 August 2003 09:35


    Die Virenproblematik kann man nie ernst genug nehmen. Besser mal eine Mail oder ein Posting zu viel abgesetzt, als nachher in die Röhre zu schauen.



    ...attachment.php?attachmentid=4467...Genau!

    meines Erachtens ist der Schuss doch eh nach hinten losgegangen;
    der Produzent des Viruses schreibt doch: "MSFT soll aufhören so viel Geld zu verdienen - und ihre Software flicken"...

    es ist doch aber so, dass "einige viele" der betroffenen Privatanwender ab (vor) dem SP3 aufgehört haben zu patchen...
    => und laufen jetzt in den Laden um sich Linux oder das Fensterprogramm zu kaufen...
    (im Prinzip bringt der Virus also "Investitionsimpulse" - aber MSFT verdient damit nicht weniger Geld Rolling Eyes

    ein anderes Problem sind die Dialup-User... die werden doch nie alle Updates machen (da gehen die ja ein, bei der Bandbreite...)

    (ich wurde schon vor 3 Wochen gepatched... Wink )