NT-Autörität--RPC--Worm? Weiß jemand was?

Petra Sw. (Amy) · 12.08.2003, 09:55

Hallo,

keine fischige Frage sondern eine PC-technische, aber da sind hier ja auch einige Experten

Habe heute schon zweimal von Windows XP eine Medlung von der NT-Autorität bekommen, daß RPC beendet wurde und der Rechner in einer Minute herunterfährt.

Zwei Kollegen hatten gestern diese Problem auch zuhause! Auch bei XP.

Ist irgendetwas über einen neuen Worm bekannt? Unser User-Help-Desk ist noch ratlos...

danke und Grüße

Petra Sw. (Amy) · 12.08.2003, 10:02

Hab jetzt schon was gefunden...

das Teil heißt LoveSan oder MSBlaster....

Sch....

YRJTG · 12.08.2003, 10:27

Hi Amy,

das ist eine Sicherheitslücke von Win2000 und XP, auf die Gestern laut Microsoft sehr viele angriffe stattfanden. Im schlimmsten fall kann deine Festplatte gelöscht werden, und im nicht sooo schlimmen Fällen passiert dass was du beschrieben hast. Das ganze hab ich Gestern auf einer I-net Seite gelesen, weis aber leider nicht mehr welche es war.

schöne Grüße

Kevin

Cereal · 12.08.2003, 10:42

Hi,

Ist ein neuer Virus der gerade voll in the wild ist.
Es gibt Patches zum Download und ebenso Hotfixes.
Patch: http://www.microsoft.com/technet/tre...n/MS03-026.asp

Hotfix bei infizierten System:
http://www.sophos.com/support/news/#blaster

Prinzipiell: Wenn ihr eine Firewall habt, macht die Ports 69,135 und 4444 zu, über diesen wird er verbreitet.

lg

Ewald

hai · 12.08.2003, 10:42

moin,

http://www.mdr.de/nachrichten/deutschland/869415.html

g
Mike

Petra Sw. (Amy) · 12.08.2003, 11:40

Uff,

ein Kollege hat gerade den Patch eingespielt und das Teil entfernt...

Bei uns sind fast alle Server infiziert....

Grüße

Roland Bauer · 12.08.2003, 13:43

Zitat:

Zitat von Cereal

Prinzipiell: Wenn ihr eine Firewall habt, macht die Ports 69,135 und 4444 zu, über diesen wird er verbreitet.

Hi, Ewald,

müste das nicht eher heissen:

"Alle Ports, die nicht gebraucht werden, gehören dichtgemacht." ?

Eine effektive und kostenlose Firewall ist z.B. atguard - google zeigt euch downloadmöglichkeiten.

gruss, roland

Cereal · 12.08.2003, 14:17

Hallo Roland,

Du hast prinzipiell schon recht. Per default sollten diese Ports bei einer Firewall, die nach draußen abriegelt, schon zu sein. Das Problem ist nur folgendes:

Port 135 wird (Netbios Zugriffe mittels RPC) für normale Windows Freigaben genutzt. Also ist es ein Problem wenn du eine lokale Firewall benutzt und lokale Freigaben hast, bzw auf welche zugreifen willst. Wenn du diesen Port also sperrst, werden Freigaben nicht mehr funktionieren.

Das Ganze ist für einen Homeuser keine Tragik, der sollte den Port zumachen. In einem Netzwerk mit verschiedenen Segmenten, die eventuell mittels WAN-Verbindungen und VPN Tunnels verbunden sind (und mit Firewalls gegeneinander abgesichert sind, schließlich geht ein VPN ja durchs Internet) wird man diesen Port aber nicht schließen wollen, da ja eventuelle Freigaben bestehen.

Port 135 ist ja prinzipiell nichts Böses, RPC genauso wenig. Demnach sollte man einfach darauf achten, daß die aktuellen Patches installiert sind, und man nicht mittels Exploits angegriffen werden kann. In größeren Firmennetzwerken kann das zum Problem werden, bzw. kann das viel Arbeit machen, wenn ein User diesen Virus einschleppt (einen Virenscanner für eingehende Mails zentral am Server setze ich sowieso voraus). Da gilt nur noch isolieren und beheben und danach alles patchen bevor mehr Schaden angerichtet werden kann, denn ein Sperren des Ports auf der Firewall wird da nicht viel bringen, außer Einschränkung des normalen Produktivbetriebs.

Und für den privaten Bereich: eine Software-Firewall installieren....

Noch ein kleiner Nachsatz: Auf den Ports 135-139 kommen übrigens auch so Programme wie Kazaa, eMule und dergleichen daher....

Und zu guter Letzt: Ich denke der normale Benutzer weiß nicht, welche Ports er benötigt, falls er denn überhaupt weiß, was Ports sind. :wink:

lg

Ewald, der das ein wenig diffiziler sieht

12.08.2003, 14:29

hi,

also ich habe mir das dingen auch eingefangen.

ich habe das patch installiert, die firewall aktualisiert....

und trotzdem ist das dingen noch da.

die firewall (norton) sieht ihn zwar, aber ich bekomme das infofenster, das sie es glöscht hat nicht mehr weg.
beim neustart ist das dingen wieder da...

was habe ich falsch gemacht?

ps: wo kann ich bei norton die ports schließen? kleiner tipp wär nett, ich beschäftige mich sonst nicht mit so einem zeugs und bin deshalb nicht auf dem laufenden... :x

D.Schu · 12.08.2003, 14:33

Hallo,
ich habe diese interne Firewall von win XP home edition an,an meiner netzwerkverbindunh!
wo komme ich da hin um die ports zu schliessen?
5bekannte von mir haben den wurm schon und ich will nicht der nächste sein!

gruss,
daniel

12.08.2003, 09:55	#1
Petra Sw. (Amy) Registriert seit: 06.11.2001 Ort: 53359 Rheinbach Beiträge: 1.982 Abgegebene Danke: 0 Erhielt: 0 Danke in 0 Beiträgen	NT-Autörität--RPC--Worm? Weiß jemand was? Hallo, keine fischige Frage sondern eine PC-technische, aber da sind hier ja auch einige Experten Habe heute schon zweimal von Windows XP eine Medlung von der NT-Autorität bekommen, daß RPC beendet wurde und der Rechner in einer Minute herunterfährt. Zwei Kollegen hatten gestern diese Problem auch zuhause! Auch bei XP. Ist irgendetwas über einen neuen Worm bekannt? Unser User-Help-Desk ist noch ratlos... danke und Grüße

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Weiß jemand, ob Elefantenfische PFLANZEN fressen????	eva0308	Archiv 2004	1	16.03.2004 08:56
Weiß jemand was über Kugelfische?	Platina	Archiv 2003	7	13.10.2003 15:21
Weiß jemand was zu dieser Krankheit?	Christoph F	Archiv 2003	47	17.05.2003 21:00
Weiß jemand Zierfischbörsen rund um Mannheim?	Mariska G.	Archiv 2002	2	26.04.2002 01:56
Weiß jemand was die Sachkundeprüfung für Süßwasser kostet?	Daniel25	Archiv 2002	8	07.03.2002 00:05

12.08.2003, 10:02	#2
Petra Sw. (Amy) Registriert seit: 06.11.2001 Ort: 53359 Rheinbach Beiträge: 1.982 Abgegebene Danke: 0 Erhielt: 0 Danke in 0 Beiträgen	Hab jetzt schon was gefunden... das Teil heißt LoveSan oder MSBlaster.... Sch....

12.08.2003, 10:27	#3
YRJTG Registriert seit: 26.11.2001 Ort: Pfaffenhofen a.d.Ilm Beiträge: 186 Abgegebene Danke: 0 Erhielt: 0 Danke in 0 Beiträgen	Hi Amy, das ist eine Sicherheitslücke von Win2000 und XP, auf die Gestern laut Microsoft sehr viele angriffe stattfanden. Im schlimmsten fall kann deine Festplatte gelöscht werden, und im nicht sooo schlimmen Fällen passiert dass was du beschrieben hast. Das ganze hab ich Gestern auf einer I-net Seite gelesen, weis aber leider nicht mehr welche es war. schöne Grüße Kevin

12.08.2003, 10:42	#4
Cereal Registriert seit: 12.02.2003 Ort: Österreich Beiträge: 205 Abgegebene Danke: 0 Erhielt: 0 Danke in 0 Beiträgen	Hi, Ist ein neuer Virus der gerade voll in the wild ist. Es gibt Patches zum Download und ebenso Hotfixes. Patch: http://www.microsoft.com/technet/tre...n/MS03-026.asp Hotfix bei infizierten System: http://www.sophos.com/support/news/#blaster Prinzipiell: Wenn ihr eine Firewall habt, macht die Ports 69,135 und 4444 zu, über diesen wird er verbreitet. lg Ewald

12.08.2003, 10:42	#5
hai Registriert seit: 25.08.2001 Ort: Wien Beiträge: 966 Abgegebene Danke: 0 Erhielt: 0 Danke in 0 Beiträgen	moin, http://www.mdr.de/nachrichten/deutschland/869415.html g Mike

12.08.2003, 11:40	#6
Petra Sw. (Amy) Registriert seit: 06.11.2001 Ort: 53359 Rheinbach Beiträge: 1.982 Abgegebene Danke: 0 Erhielt: 0 Danke in 0 Beiträgen	Uff, ein Kollege hat gerade den Patch eingespielt und das Teil entfernt... Bei uns sind fast alle Server infiziert.... Grüße

12.08.2003, 14:17	#8
Cereal Registriert seit: 12.02.2003 Ort: Österreich Beiträge: 205 Abgegebene Danke: 0 Erhielt: 0 Danke in 0 Beiträgen	Hallo Roland, Du hast prinzipiell schon recht. Per default sollten diese Ports bei einer Firewall, die nach draußen abriegelt, schon zu sein. Das Problem ist nur folgendes: Port 135 wird (Netbios Zugriffe mittels RPC) für normale Windows Freigaben genutzt. Also ist es ein Problem wenn du eine lokale Firewall benutzt und lokale Freigaben hast, bzw auf welche zugreifen willst. Wenn du diesen Port also sperrst, werden Freigaben nicht mehr funktionieren. Das Ganze ist für einen Homeuser keine Tragik, der sollte den Port zumachen. In einem Netzwerk mit verschiedenen Segmenten, die eventuell mittels WAN-Verbindungen und VPN Tunnels verbunden sind (und mit Firewalls gegeneinander abgesichert sind, schließlich geht ein VPN ja durchs Internet) wird man diesen Port aber nicht schließen wollen, da ja eventuelle Freigaben bestehen. Port 135 ist ja prinzipiell nichts Böses, RPC genauso wenig. Demnach sollte man einfach darauf achten, daß die aktuellen Patches installiert sind, und man nicht mittels Exploits angegriffen werden kann. In größeren Firmennetzwerken kann das zum Problem werden, bzw. kann das viel Arbeit machen, wenn ein User diesen Virus einschleppt (einen Virenscanner für eingehende Mails zentral am Server setze ich sowieso voraus). Da gilt nur noch isolieren und beheben und danach alles patchen bevor mehr Schaden angerichtet werden kann, denn ein Sperren des Ports auf der Firewall wird da nicht viel bringen, außer Einschränkung des normalen Produktivbetriebs. Und für den privaten Bereich: eine Software-Firewall installieren.... Noch ein kleiner Nachsatz: Auf den Ports 135-139 kommen übrigens auch so Programme wie Kazaa, eMule und dergleichen daher.... Und zu guter Letzt: Ich denke der normale Benutzer weiß nicht, welche Ports er benötigt, falls er denn überhaupt weiß, was Ports sind. :wink: lg Ewald, der das ein wenig diffiziler sieht

12.08.2003, 14:29	#9
Gast Beiträge: n/a	hi, also ich habe mir das dingen auch eingefangen. ich habe das patch installiert, die firewall aktualisiert.... und trotzdem ist das dingen noch da. die firewall (norton) sieht ihn zwar, aber ich bekomme das infofenster, das sie es glöscht hat nicht mehr weg. beim neustart ist das dingen wieder da... was habe ich falsch gemacht? ps: wo kann ich bei norton die ports schließen? kleiner tipp wär nett, ich beschäftige mich sonst nicht mit so einem zeugs und bin deshalb nicht auf dem laufenden... :x

12.08.2003, 14:33	#10
D.Schu Registriert seit: 03.11.2002 Ort: NRW Beiträge: 168 Abgegebene Danke: 0 Erhielt: 0 Danke in 0 Beiträgen	Hallo, ich habe diese interne Firewall von win XP home edition an,an meiner netzwerkverbindunh! wo komme ich da hin um die ports zu schliessen? 5bekannte von mir haben den wurm schon und ich will nicht der nächste sein! gruss, daniel

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen