Fehler in RPC-Schnittstelle, Zugriffe von aussen auf durch Port 135.
Der Fehler tritt mit einer Fehlermeldung auf, das Windos in ?? Sekunden beendet wird, diese Meldung kann nicht daktiviert werden und der PC startet auf jeden Fall neu.
Ihr solltet mal eure logfiles checken...
Kurz bevor die fehlermeldung erscheint findet ein Port-Scan statt...
was bedeutet das es nicht mehr lange Bis zum erscheinen der fehlermeldung dauert...
Auf der Mailing-Liste Full-Disclosure gab es erste Postings, die vermuten lassen, dass der erwartete RPC-Wurm im Internet unterwegs ist und verwundbare Windows-Systeme über den RPC-Port 135 und andere befällt. Angegriffene Systeme sollen an folgenden Dateien auf c:\ erkennbar sein: rpc.exe, rpctest.exe, tftpd.exe, worm.exe, lolx.exe und lolx.exe, dcomx.exe im Windows-Systemverzeichnis. rpc.exe und dcom.exe sind zusätzlich im Task-Manager als laufende Dienste zu identifizieren.
(Falls diese Dateien nicht vorhanden sind, heist das nicht das alles in Ordnung ist, sondern nur das keine Programme installiert wurden. Der Port Scan auf 135 ist trotzdem möglich (natürlich), und dann auch ein eventueller Einrbruch hierüber...... also Patch installieren)
Wie sich nach einer Analyse bei Symantec mittlerweile herausstellte, gehören diese Dateien zu einem so genannten Massrooter-Toolkit, das in Windows-Systeme einbricht und sich dort einnistet. Befallene Systeme arbeiten als IRC-Bot: Sie öffnen IRC-Channels und nehmen Kommandos entgegen. Ein Wurm verbreitet sich automatisch selbst. Diese Eigenschaft fehlt dem Toolkit, da es von Angreifern zentral gesteuert auf verwundbaren Systemen installiert wird.
Einmal infizierte Systeme greifen keine weiteren PCs an, können aber als Plattform für weitere Angriffe, zum Beispiel Distributed-Denial-of-Service-Attacken, missbraucht werden. Darüber hinaus erlaubt der TFTP-Server (tftpd.exe) das Hochladen beliebiger Dateien. Das Auftauchen eines RPC-Wurms ist aber weiterhin möglich, insbesondere da das jetzt aufgetauchte Toolkit nur noch um die Komponente der automatischen Weiterverbreitung ergänzt werden muss.
Es wird weiterhin empfohlen, die Patches von Microsoft einzuspielen und RPC- sowie NetBios-Ports in Richtung Internet zu sperren oder zu filtern. Desweiteren sollten nach dem Wochenende potenziell bedrohte Rechner auf oben genannte Dateien hin überprüft werden.
Mocrosoft Patch:
http://download.microsoft.com/download/ ... 86-DEU.exe
Achtung nur den Original Patch von der Microsoft Seite installieren. Es werden e-mails verbreitet, die einen angeblichen Patch beinhalten. Der link führt zu einer Seite die von der Originalen Microsoft Page nicht zu unterscheiden ist aber dieser dort zum Download bereitgestellte Patch, ist ein Programmcode der die volle Kontrolle des PC's über das Internet ermögflicht!!!
Also Adresse überprüfen!
PS: Habe auch schon diese e-mail erhalten..... aber ich habe zu spitze Zähne...... doch nicht mit mir!
RPC Sicherheitsloch........ Achtung!
Moderator: pilfi
-
vampyre
- Batterie8 Landschaft
- Beiträge: 877
- Registriert: Mi 6. Nov 2002, 01:42
- Wohnort: Aschaffenburg, halb so groß wie der New Yorker Zentralfriedhof und doppelt so tot!
- Kontaktdaten:
RPC Sicherheitsloch........ Achtung!
Nikon D100, 80/200/2,8 - 24/85 - 24/120 - 50/1,4 - Micro 105/2,8 - SB 800 - XDrive 40 - Wacom Intuos 3 A5
Spiderwitch
FC
Ich bin ein Nonkonformium und das ist gut so!
Spiderwitch
FC
Ich bin ein Nonkonformium und das ist gut so!
so nen dreck war bei mir heut morgen drauf,
kaum 5 min. im netz, ist der runtergefahren worden,
hab antivirupdate gemacht,
virus:
lovsan.A gefunden,
gelöscht.
nun wird dieser empfohlene patch von vampyre noch installiert,
danke vampyre
bis anhin keine meldung mehr.
http://www.free-av.de
kaum 5 min. im netz, ist der runtergefahren worden,
hab antivirupdate gemacht,
virus:
lovsan.A gefunden,
gelöscht.
nun wird dieser empfohlene patch von vampyre noch installiert,
danke vampyre
bis anhin keine meldung mehr.
http://www.free-av.de
zur not tuts auch ne NIKON cp 4500 mit was zubehör
-
Ernst
- Batterie7 Kamera
- Beiträge: 240
- Registriert: Mo 5. Mai 2003, 00:54
- Wohnort: Leoben und Bad Vöslau
Danke Vampire!
Hatte den Wurm auf der Platte!
Nur der Virus hatte keine der von dir genannten Programme erzeugt. Bei mir befand sich "msblast.exe" auf C:\windows\system32. Hatte bevor ich dein Schreiben las, ein Live-Update der Virensoftware gemacht. Der Virus wurde danach nicht gefunden. Über eine alte Windowsinstallation habe ich mir bei Symantec die neue Virendefinition geholt. Virus wurde erkannt, aber nicht gelöscht. Ich mußte zuerst den Start von "msblast.exe" beim Systemstart deaktivieren. Danach gings dann. Den dir genannten Patch von MickySoft geholt und wieder ein Loch weniger im Käse.
Hatte den Wurm auf der Platte!
Nur der Virus hatte keine der von dir genannten Programme erzeugt. Bei mir befand sich "msblast.exe" auf C:\windows\system32. Hatte bevor ich dein Schreiben las, ein Live-Update der Virensoftware gemacht. Der Virus wurde danach nicht gefunden. Über eine alte Windowsinstallation habe ich mir bei Symantec die neue Virendefinition geholt. Virus wurde erkannt, aber nicht gelöscht. Ich mußte zuerst den Start von "msblast.exe" beim Systemstart deaktivieren. Danach gings dann. Den dir genannten Patch von MickySoft geholt und wieder ein Loch weniger im Käse.
lg
Ernst
D200 mit MB D200, D300 mit PDK-1; Nikon AF S 17-35 2.8D, AF S 28-70 2.8D, AF S Micro 60 2:8G, AF S VR Micro 105 2.8G, AF S ED 80-200 2.8D, TC-17E II; Sigma 18-200 F3,5-6.3 DC OS, 150-500 F5,-6,3 DG OS; Metz 44 AF-4N.
Ernst
D200 mit MB D200, D300 mit PDK-1; Nikon AF S 17-35 2.8D, AF S 28-70 2.8D, AF S Micro 60 2:8G, AF S VR Micro 105 2.8G, AF S ED 80-200 2.8D, TC-17E II; Sigma 18-200 F3,5-6.3 DC OS, 150-500 F5,-6,3 DG OS; Metz 44 AF-4N.
-
JackMcBeer
- Batterie12 S
- Beiträge: 1980
- Registriert: Fr 7. Feb 2003, 21:31
- Wohnort: chemnitz
Ja, n'Mac wär schon eine Alternative.
Nur wenn mal halt einen Stock an PC-Software hat, die ein Schweinegeld gekostet hat, dann wird auch der nächste Rechner keinen Apfel auf dem Deckel haben.
So ist das, was mich betrifft. Ein Mac ist halt einfach zu teuer weil ich sämtliche Software neu kaufen müsste. Die für den PC hab ich halt.
Nur wenn mal halt einen Stock an PC-Software hat, die ein Schweinegeld gekostet hat, dann wird auch der nächste Rechner keinen Apfel auf dem Deckel haben.
So ist das, was mich betrifft. Ein Mac ist halt einfach zu teuer weil ich sämtliche Software neu kaufen müsste. Die für den PC hab ich halt.
Hallo Monika,
Als Hardware hängt ein OS/2 (ja das gibt es immer noch
) auf einem P166 mit IsdnPM dazwischen. Nicht lachen 
Um zu erklären warum das so ist, muß ich etwas weiter ausholen. Ich bin immer noch im Fido Netz aktiv. Nähere Erklärung hier http://www.was-ist-fido.de/ Als Fido Node ist man verpflichtet 24 Stunden Online erreichbar zu sein. Früher per Modem, dann kam ISDN und noch später DSL
So habe ich halt einen PC der immer 24 Stunden am Tag läuft. Da irgendwann Fido over IP dazu kam und mit IsdnPM, ursprünglich als reines ISDN Dialer Programm mit PPP Unterstützung konzipiert, die DSL Unterstützung mit Routingfähigkeiten dazu kam, habe ich zwei Fliegen mit einer Klappe geschlagen. Ich bin per DSL Flatrate 24 Stunden über IP Fidonetzmäßig erreichbar und jeder Windowsrechner kann über einen dazwischen geschalteten NetGear Switch und dem OS/2 Rechner als Gateway ins Internet.
Die angenehme Eigenschaft von IsdnPM ist, standardmäßig sind alle Ports dicht. Das Ding ist noch nicht einmal per Ping zu erreichen, selbst wenn Dir die aktuelle IP Adresse bekannt ist.
Das einzige Manko ist im Moment die Hitzewelle
In den letzten Tagen ist mir der OS/2 Rechner ein paar mal abgestürzt. Das ist aber eigentlich keine Wunder bei bis zu 32 Grad Raumtemperatur hat eine der beiden SCSI Platten die unangenehme Eigentlschaft sich per Hardwareschutzschaltung einfach mal im laufenden Betrieb abzuschalten Das ist aber auch kein wirkliches Problem. Ich schalte dann die Büchse aus, warte etwas, einschalten, CheckDisk und weitergehts. Mach das mal mitner WinDose ... 
Warum solltest Du Dich lächerlich machen?Monika hat geschrieben:Auch aus die Gefahr hin, dass ich mich jetzt lächerlich mache...
Wie gehst Du mit Windoof ins Netz? Was für Hardware hängt da dazwischen?
Als Hardware hängt ein OS/2 (ja das gibt es immer noch
) auf einem P166 mit IsdnPM dazwischen. Nicht lachen Um zu erklären warum das so ist, muß ich etwas weiter ausholen. Ich bin immer noch im Fido Netz aktiv. Nähere Erklärung hier http://www.was-ist-fido.de/ Als Fido Node ist man verpflichtet 24 Stunden Online erreichbar zu sein. Früher per Modem, dann kam ISDN und noch später DSL
So habe ich halt einen PC der immer 24 Stunden am Tag läuft. Da irgendwann Fido over IP dazu kam und mit IsdnPM, ursprünglich als reines ISDN Dialer Programm mit PPP Unterstützung konzipiert, die DSL Unterstützung mit Routingfähigkeiten dazu kam, habe ich zwei Fliegen mit einer Klappe geschlagen. Ich bin per DSL Flatrate 24 Stunden über IP Fidonetzmäßig erreichbar und jeder Windowsrechner kann über einen dazwischen geschalteten NetGear Switch und dem OS/2 Rechner als Gateway ins Internet.
Die angenehme Eigenschaft von IsdnPM ist, standardmäßig sind alle Ports dicht. Das Ding ist noch nicht einmal per Ping zu erreichen, selbst wenn Dir die aktuelle IP Adresse bekannt ist.
Das einzige Manko ist im Moment die Hitzewelle
In den letzten Tagen ist mir der OS/2 Rechner ein paar mal abgestürzt. Das ist aber eigentlich keine Wunder bei bis zu 32 Grad Raumtemperatur hat eine der beiden SCSI Platten die unangenehme Eigentlschaft sich per Hardwareschutzschaltung einfach mal im laufenden Betrieb abzuschalten Das ist aber auch kein wirkliches Problem. Ich schalte dann die Büchse aus, warte etwas, einschalten, CheckDisk und weitergehts. Mach das mal mitner WinDose ... Tschau
Jürgen
Jürgen