12.08.2003, 09:55 | #1 |
Registriert seit: 06.11.2001
Ort: 53359 Rheinbach
Beiträge: 1.982
Abgegebene Danke: 0
Erhielt: 0 Danke in 0 Beiträgen
|
NT-Autörität--RPC--Worm? Weiß jemand was?
Hallo,
keine fischige Frage sondern eine PC-technische, aber da sind hier ja auch einige Experten Habe heute schon zweimal von Windows XP eine Medlung von der NT-Autorität bekommen, daß RPC beendet wurde und der Rechner in einer Minute herunterfährt. Zwei Kollegen hatten gestern diese Problem auch zuhause! Auch bei XP. Ist irgendetwas über einen neuen Worm bekannt? Unser User-Help-Desk ist noch ratlos... danke und Grüße |
12.08.2003, 10:02 | #2 |
Registriert seit: 06.11.2001
Ort: 53359 Rheinbach
Beiträge: 1.982
Abgegebene Danke: 0
Erhielt: 0 Danke in 0 Beiträgen
|
Hab jetzt schon was gefunden...
das Teil heißt LoveSan oder MSBlaster.... Sch.... |
12.08.2003, 10:27 | #3 |
Registriert seit: 26.11.2001
Ort: Pfaffenhofen a.d.Ilm
Beiträge: 186
Abgegebene Danke: 0
Erhielt: 0 Danke in 0 Beiträgen
|
Hi Amy,
das ist eine Sicherheitslücke von Win2000 und XP, auf die Gestern laut Microsoft sehr viele angriffe stattfanden. Im schlimmsten fall kann deine Festplatte gelöscht werden, und im nicht sooo schlimmen Fällen passiert dass was du beschrieben hast. Das ganze hab ich Gestern auf einer I-net Seite gelesen, weis aber leider nicht mehr welche es war. schöne Grüße Kevin |
12.08.2003, 10:42 | #4 |
Registriert seit: 12.02.2003
Ort: Österreich
Beiträge: 205
Abgegebene Danke: 0
Erhielt: 0 Danke in 0 Beiträgen
|
Hi,
Ist ein neuer Virus der gerade voll in the wild ist. Es gibt Patches zum Download und ebenso Hotfixes. Patch: http://www.microsoft.com/technet/tre...n/MS03-026.asp Hotfix bei infizierten System: http://www.sophos.com/support/news/#blaster Prinzipiell: Wenn ihr eine Firewall habt, macht die Ports 69,135 und 4444 zu, über diesen wird er verbreitet. lg Ewald |
12.08.2003, 10:42 | #5 |
Registriert seit: 25.08.2001
Ort: Wien
Beiträge: 966
Abgegebene Danke: 0
Erhielt: 0 Danke in 0 Beiträgen
|
|
12.08.2003, 11:40 | #6 |
Registriert seit: 06.11.2001
Ort: 53359 Rheinbach
Beiträge: 1.982
Abgegebene Danke: 0
Erhielt: 0 Danke in 0 Beiträgen
|
Uff,
ein Kollege hat gerade den Patch eingespielt und das Teil entfernt... Bei uns sind fast alle Server infiziert.... Grüße |
12.08.2003, 13:43 | #7 | |
Registriert seit: 04.06.2001
Ort: CH-4052 Basel
Beiträge: 9.301
Abgegebene Danke: 0
Erhielt: 0 Danke in 0 Beiträgen
|
Zitat:
müste das nicht eher heissen: "Alle Ports, die nicht gebraucht werden, gehören dichtgemacht." ? Eine effektive und kostenlose Firewall ist z.B. atguard - google zeigt euch downloadmöglichkeiten. gruss, roland |
|
12.08.2003, 14:17 | #8 |
Registriert seit: 12.02.2003
Ort: Österreich
Beiträge: 205
Abgegebene Danke: 0
Erhielt: 0 Danke in 0 Beiträgen
|
Hallo Roland,
Du hast prinzipiell schon recht. Per default sollten diese Ports bei einer Firewall, die nach draußen abriegelt, schon zu sein. Das Problem ist nur folgendes: Port 135 wird (Netbios Zugriffe mittels RPC) für normale Windows Freigaben genutzt. Also ist es ein Problem wenn du eine lokale Firewall benutzt und lokale Freigaben hast, bzw auf welche zugreifen willst. Wenn du diesen Port also sperrst, werden Freigaben nicht mehr funktionieren. Das Ganze ist für einen Homeuser keine Tragik, der sollte den Port zumachen. In einem Netzwerk mit verschiedenen Segmenten, die eventuell mittels WAN-Verbindungen und VPN Tunnels verbunden sind (und mit Firewalls gegeneinander abgesichert sind, schließlich geht ein VPN ja durchs Internet) wird man diesen Port aber nicht schließen wollen, da ja eventuelle Freigaben bestehen. Port 135 ist ja prinzipiell nichts Böses, RPC genauso wenig. Demnach sollte man einfach darauf achten, daß die aktuellen Patches installiert sind, und man nicht mittels Exploits angegriffen werden kann. In größeren Firmennetzwerken kann das zum Problem werden, bzw. kann das viel Arbeit machen, wenn ein User diesen Virus einschleppt (einen Virenscanner für eingehende Mails zentral am Server setze ich sowieso voraus). Da gilt nur noch isolieren und beheben und danach alles patchen bevor mehr Schaden angerichtet werden kann, denn ein Sperren des Ports auf der Firewall wird da nicht viel bringen, außer Einschränkung des normalen Produktivbetriebs. Und für den privaten Bereich: eine Software-Firewall installieren.... Noch ein kleiner Nachsatz: Auf den Ports 135-139 kommen übrigens auch so Programme wie Kazaa, eMule und dergleichen daher.... Und zu guter Letzt: Ich denke der normale Benutzer weiß nicht, welche Ports er benötigt, falls er denn überhaupt weiß, was Ports sind. :wink: lg Ewald, der das ein wenig diffiziler sieht |
12.08.2003, 14:29 | #9 |
Gast
Beiträge: n/a
|
hi,
also ich habe mir das dingen auch eingefangen. ich habe das patch installiert, die firewall aktualisiert.... und trotzdem ist das dingen noch da. die firewall (norton) sieht ihn zwar, aber ich bekomme das infofenster, das sie es glöscht hat nicht mehr weg. beim neustart ist das dingen wieder da... was habe ich falsch gemacht? ps: wo kann ich bei norton die ports schließen? kleiner tipp wär nett, ich beschäftige mich sonst nicht mit so einem zeugs und bin deshalb nicht auf dem laufenden... :x |
12.08.2003, 14:33 | #10 |
Registriert seit: 03.11.2002
Ort: NRW
Beiträge: 168
Abgegebene Danke: 0
Erhielt: 0 Danke in 0 Beiträgen
|
Hallo,
ich habe diese interne Firewall von win XP home edition an,an meiner netzwerkverbindunh! wo komme ich da hin um die ports zu schliessen? 5bekannte von mir haben den wurm schon und ich will nicht der nächste sein! gruss, daniel |
Themen-Optionen | |
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
Weiß jemand, ob Elefantenfische PFLANZEN fressen???? | eva0308 | Archiv 2004 | 1 | 16.03.2004 08:56 |
Weiß jemand was über Kugelfische? | Platina | Archiv 2003 | 7 | 13.10.2003 15:21 |
Weiß jemand was zu dieser Krankheit? | Christoph F | Archiv 2003 | 47 | 17.05.2003 21:00 |
Weiß jemand Zierfischbörsen rund um Mannheim? | Mariska G. | Archiv 2002 | 2 | 26.04.2002 01:56 |
Weiß jemand was die Sachkundeprüfung für Süßwasser kostet? | Daniel25 | Archiv 2002 | 8 | 07.03.2002 00:05 |