RPC Sicherheitsloch........ Achtung!
Verfasst: Di 12. Aug 2003, 02:41
Fehler in RPC-Schnittstelle, Zugriffe von aussen auf durch Port 135.
Der Fehler tritt mit einer Fehlermeldung auf, das Windos in ?? Sekunden beendet wird, diese Meldung kann nicht daktiviert werden und der PC startet auf jeden Fall neu.
Ihr solltet mal eure logfiles checken...
Kurz bevor die fehlermeldung erscheint findet ein Port-Scan statt...
was bedeutet das es nicht mehr lange Bis zum erscheinen der fehlermeldung dauert...
Auf der Mailing-Liste Full-Disclosure gab es erste Postings, die vermuten lassen, dass der erwartete RPC-Wurm im Internet unterwegs ist und verwundbare Windows-Systeme über den RPC-Port 135 und andere befällt. Angegriffene Systeme sollen an folgenden Dateien auf c:\ erkennbar sein: rpc.exe, rpctest.exe, tftpd.exe, worm.exe, lolx.exe und lolx.exe, dcomx.exe im Windows-Systemverzeichnis. rpc.exe und dcom.exe sind zusätzlich im Task-Manager als laufende Dienste zu identifizieren.
(Falls diese Dateien nicht vorhanden sind, heist das nicht das alles in Ordnung ist, sondern nur das keine Programme installiert wurden. Der Port Scan auf 135 ist trotzdem möglich (natürlich), und dann auch ein eventueller Einrbruch hierüber...... also Patch installieren)
Wie sich nach einer Analyse bei Symantec mittlerweile herausstellte, gehören diese Dateien zu einem so genannten Massrooter-Toolkit, das in Windows-Systeme einbricht und sich dort einnistet. Befallene Systeme arbeiten als IRC-Bot: Sie öffnen IRC-Channels und nehmen Kommandos entgegen. Ein Wurm verbreitet sich automatisch selbst. Diese Eigenschaft fehlt dem Toolkit, da es von Angreifern zentral gesteuert auf verwundbaren Systemen installiert wird.
Einmal infizierte Systeme greifen keine weiteren PCs an, können aber als Plattform für weitere Angriffe, zum Beispiel Distributed-Denial-of-Service-Attacken, missbraucht werden. Darüber hinaus erlaubt der TFTP-Server (tftpd.exe) das Hochladen beliebiger Dateien. Das Auftauchen eines RPC-Wurms ist aber weiterhin möglich, insbesondere da das jetzt aufgetauchte Toolkit nur noch um die Komponente der automatischen Weiterverbreitung ergänzt werden muss.
Es wird weiterhin empfohlen, die Patches von Microsoft einzuspielen und RPC- sowie NetBios-Ports in Richtung Internet zu sperren oder zu filtern. Desweiteren sollten nach dem Wochenende potenziell bedrohte Rechner auf oben genannte Dateien hin überprüft werden.
Mocrosoft Patch:
http://download.microsoft.com/download/ ... 86-DEU.exe
Achtung nur den Original Patch von der Microsoft Seite installieren. Es werden e-mails verbreitet, die einen angeblichen Patch beinhalten. Der link führt zu einer Seite die von der Originalen Microsoft Page nicht zu unterscheiden ist aber dieser dort zum Download bereitgestellte Patch, ist ein Programmcode der die volle Kontrolle des PC's über das Internet ermögflicht!!!
Also Adresse überprüfen!
PS: Habe auch schon diese e-mail erhalten..... aber ich habe zu spitze Zähne...... doch nicht mit mir!
Der Fehler tritt mit einer Fehlermeldung auf, das Windos in ?? Sekunden beendet wird, diese Meldung kann nicht daktiviert werden und der PC startet auf jeden Fall neu.
Ihr solltet mal eure logfiles checken...
Kurz bevor die fehlermeldung erscheint findet ein Port-Scan statt...
was bedeutet das es nicht mehr lange Bis zum erscheinen der fehlermeldung dauert...
Auf der Mailing-Liste Full-Disclosure gab es erste Postings, die vermuten lassen, dass der erwartete RPC-Wurm im Internet unterwegs ist und verwundbare Windows-Systeme über den RPC-Port 135 und andere befällt. Angegriffene Systeme sollen an folgenden Dateien auf c:\ erkennbar sein: rpc.exe, rpctest.exe, tftpd.exe, worm.exe, lolx.exe und lolx.exe, dcomx.exe im Windows-Systemverzeichnis. rpc.exe und dcom.exe sind zusätzlich im Task-Manager als laufende Dienste zu identifizieren.
(Falls diese Dateien nicht vorhanden sind, heist das nicht das alles in Ordnung ist, sondern nur das keine Programme installiert wurden. Der Port Scan auf 135 ist trotzdem möglich (natürlich), und dann auch ein eventueller Einrbruch hierüber...... also Patch installieren)
Wie sich nach einer Analyse bei Symantec mittlerweile herausstellte, gehören diese Dateien zu einem so genannten Massrooter-Toolkit, das in Windows-Systeme einbricht und sich dort einnistet. Befallene Systeme arbeiten als IRC-Bot: Sie öffnen IRC-Channels und nehmen Kommandos entgegen. Ein Wurm verbreitet sich automatisch selbst. Diese Eigenschaft fehlt dem Toolkit, da es von Angreifern zentral gesteuert auf verwundbaren Systemen installiert wird.
Einmal infizierte Systeme greifen keine weiteren PCs an, können aber als Plattform für weitere Angriffe, zum Beispiel Distributed-Denial-of-Service-Attacken, missbraucht werden. Darüber hinaus erlaubt der TFTP-Server (tftpd.exe) das Hochladen beliebiger Dateien. Das Auftauchen eines RPC-Wurms ist aber weiterhin möglich, insbesondere da das jetzt aufgetauchte Toolkit nur noch um die Komponente der automatischen Weiterverbreitung ergänzt werden muss.
Es wird weiterhin empfohlen, die Patches von Microsoft einzuspielen und RPC- sowie NetBios-Ports in Richtung Internet zu sperren oder zu filtern. Desweiteren sollten nach dem Wochenende potenziell bedrohte Rechner auf oben genannte Dateien hin überprüft werden.
Mocrosoft Patch:
http://download.microsoft.com/download/ ... 86-DEU.exe
Achtung nur den Original Patch von der Microsoft Seite installieren. Es werden e-mails verbreitet, die einen angeblichen Patch beinhalten. Der link führt zu einer Seite die von der Originalen Microsoft Page nicht zu unterscheiden ist aber dieser dort zum Download bereitgestellte Patch, ist ein Programmcode der die volle Kontrolle des PC's über das Internet ermögflicht!!!
Also Adresse überprüfen!
PS: Habe auch schon diese e-mail erhalten..... aber ich habe zu spitze Zähne...... doch nicht mit mir!
, siehe 
Tendenz steigend ...
