Manche lernen's anscheinend nie...

Re: Manche lernen's anscheinend nie...

HITCHER — Sat, 26 Mar 2005 08:05:46 GMT

Die Daten sind max. 6 Tage alt - aus den IPCOP logs.

INPUT  ppp0 11157 tcp packets (537900 bytes) port 445 (microsoft-ds)
INPUT  ppp0 6233 tcp packets (299784 bytes) port 135 (epmap)
INPUT  ppp0 1369 tcp packets (65804 bytes) port 139 (netbios-ssn)
INPUT  ppp0 1227 tcp packets (61080 bytes) port 6883 (-)
INPUT  ppp0 379 udp packets (198881 bytes) port 1026 (cap)
INPUT  ppp0 368 udp packets (21344 bytes) port 137 (netbios-ns)
INPUT  ppp0 292 tcp packets (17520 bytes) port 38191 (-)
INPUT  ppp0 284 tcp packets (13584 bytes) port 1433 (ms-sql-s)
INPUT  ppp0 266 udp packets (138537 bytes) port 1027 (exosee)
INPUT  ppp0 200 udp packets (21056 bytes) port 51826 (-)
INPUT  ppp0 174 tcp packets (8352 bytes) port 1025 (blackjack)
INPUT  ppp0 152 tcp packets (7388 bytes) port 4899 (radmin-port)

und wer schickt pakete an port 445 (top 5):
INPUT  ppp0 59 tcp packets (2832 bytes) from 80.121.20.180 port 445 (microsoft-ds)
INPUT  ppp0 38 tcp packets (1824 bytes) from 80.121.80.67 port 445 (microsoft-ds)
INPUT  ppp0 32 tcp packets (1536 bytes) from 80.121.13.219 port 445 (microsoft-ds)
INPUT  ppp0 31 tcp packets (1488 bytes) from 80.121.79.236 port 445 (microsoft-ds)
INPUT  ppp0 30 tcp packets (1440 bytes) from 80.121.80.186 port 445 (microsoft-ds)

und wer schickt pakete an port 135 (top 5):
INPUT  ppp0 174 tcp packets (8352 bytes) from 80.121.15.172 port 135 (epmap)
INPUT  ppp0 70 tcp packets (3360 bytes) from 80.121.108.215 port 135 (epmap)
INPUT  ppp0 69 tcp packets (3312 bytes) from 80.121.117.32 port 135 (epmap)
INPUT  ppp0 58 tcp packets (2784 bytes) from 80.121.119.251 port 135 (epmap)
INPUT  ppp0 54 tcp packets (2592 bytes) from 80.121.109.219 port 135 (epmap)

und wer schickt pakete an port 139 (top 5):
INPUT  ppp0 27 tcp packets (1296 bytes) from 80.121.107.192 port 139 (netbios-ssn)
INPUT  ppp0 26 tcp packets (1248 bytes) from 80.121.30.165 port 139 (netbios-ssn)
INPUT  ppp0 24 tcp packets (1152 bytes) from 80.121.76.25 port 139 (netbios-ssn)
INPUT  ppp0 24 tcp packets (1152 bytes) from 80.121.9.82 port 139 (netbios-ssn)
INPUT  ppp0 23 tcp packets (1104 bytes) from 80.121.65.82 port 139 (netbios-ssn)

Ist ja wohl klar, dass das pro Monat zig MB Datentransfer fürn Mülleimer sind !

MfG.

Re(4): Hab's nicht gelernt... Erklät!

gepeinigter_aon_neukunde — Wed, 23 Mar 2005 19:48:26 GMT

Gab schon blödere Algorithmen...
Wenn er zB einfach immer 4Byte-Blöcke aus dem eigenen Programm nimmt

Ich sag ja nicht, daß du unrecht haben mußt... Ich hätt' nur net deine Sicherheit

Re: Manche lernen's anscheinend nie...

der.Dude — Wed, 23 Mar 2005 18:34:51 GMT

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen

Wozu sollte man das tun?
Mein Rechner läuft auch ohne dass ich weis, was alles an Unkraut drauf ist.

Re(3): Manche lernen's anscheinend nie...

Bart Simpson — Wed, 23 Mar 2005 17:13:23 GMT

danke

Re(3): Hab's nicht gelernt... Erklät!

Glockman — Wed, 23 Mar 2005 16:44:59 GMT

Naja, du hast ja extra betont, daß eine QuellIP besonders aktiv war... Nur hat das IMHO nix zu bedeuten.

Für mich mit Deiner Spoofing-Version aber doch soviel, als dass da halt ein anderer relativ aktiv war, oder meinst Du, da hat jemand einen Virus programmiert, der von allen Rechnern auf denen er läuft mit der selben gefaketen IP rausgeht, und sich dann gezielt nur eine sucht (in dem Fall mich), die er angreift?

Re(2): Manche lernen's anscheinend nie...

Robert Craven — Wed, 23 Mar 2005 16:43:22 GMT

http://www.petri.co.il/what's_port_445_in_w2k_xp_2003.htm
http://www.linklogger.com/TCP445.htm

Re(4): Manche lernen's anscheinend nie...

Glockman — Wed, 23 Mar 2005 16:40:16 GMT

ok...das mit den 30MB Logfiles täglich ist plausibel und eine gute
Entschuldigung

Naja, Entschuldigung kann und soll das keine sein, und wenn ich nur das tun könnte/müsste würde es auch gemacht werden, nur hab ich relativ viel sonst noch zu tun, wie das halt so üblich ist

Aber manche meiner Kunden können nicht mal eine Zeile täglich lesen...nämlich "NOT" oder "OK"

Ja, das tut wirklich weh.

Aber falls es Dir ein Trost ist: unsere Kollegen in Amerika schauen sich Logfiles und Eventlogs anscheinend auch nur an, wenn was mal offensichtlich nicht geht; hab mal auf ein kleines Problem aufmerksam gemacht, und auf die Frage, wie ich drauf kam, erwähnt, dass ich das Logfile routinemäßig angeschaut hab, da kam von drüben dann nur "Was? Du machst das regelmäßig?"

Re: Manche lernen's anscheinend nie...

Bart Simpson — Wed, 23 Mar 2005 16:30:15 GMT

aja noch was, weißt du zufällig was der port 445 macht? der ist bei meinen logs auch sehr oft dabei...

Re(2): Manche lernen's anscheinend nie...

Bart Simpson — Wed, 23 Mar 2005 16:26:17 GMT

Re: Manche lernen's anscheinend nie...

Bart Simpson — Wed, 23 Mar 2005 16:24:42 GMT

ich schau die log-files meines routers hin und wieder durch, und ja, fast alles ist auf den port 135 zu finden

Re(2): Hab's nicht gelernt... Erklät!

gepeinigter_aon_neukunde — Wed, 23 Mar 2005 16:23:20 GMT

Naja, du hast ja extra betont, daß eine QuellIP besonders aktiv war... Nur hat das IMHO nix zu bedeuten.

Deinen Tipp werde ich aber verwenden:

nächstes mal schick ich ein smbmount los und änder' seinen Bootvorgang und laß den Text "Du *PIEP* hast nen Virus. Mach was dagegen" auf seinem Schirm erscheinen

Re: Hab's nicht gelernt... Erklät!

Glockman — Wed, 23 Mar 2005 16:08:38 GMT

Ich versuchte daher öfters (wenn gerade in der Sekunde ein Log-Eintrag
passierte) ein smblient -M zu der AbsenderIP - um demjenigen Mitzuteilen, daß
er vervirt ist.

Bin aber draufgekommen, daß ich mich nie hinkonnekten konnte.

Ja, das hab ich auch schon mal gemacht/probiert.
Nur mit dem erschreckenden Erbegnis: ein einfaches "dir \\[Remote-IP]\c$" hat gereicht, um auf den Rechner zu kommen, mit einem telnet auf Port 135 war ich auch schon erfolgreich, und obwohl ich Textfiles auf Desktop und in den Autostart kopiert hab war ein paar Tage später der selbe User erreichbar...

Deiner QuellIP-Auswertung würde ich daher net trauen...

Es geht mir ja auch nicht unbedingt um den Verursacher sondern schlicht und einfach um die Tatsache, dass es nach wie vor diese Schleudern gibt.

Re(3): Manche lernen's anscheinend nie...

Cereal_Poster — Wed, 23 Mar 2005 15:19:12 GMT

ok...das mit den 30MB Logfiles täglich ist plausibel und eine gute Entschuldigung
Aber manche meiner Kunden können nicht mal eine Zeile täglich lesen...nämlich "NOT" oder "OK"

Re(2): Manche lernen's anscheinend nie...

Glockman — Wed, 23 Mar 2005 15:08:55 GMT

Ja, ist das Logfile von daheim. Bei mir gibt's nach Möglichkeit die monatliche Durchsicht, einfach so aus Neugier, was da so alles reinwill, versucht wird, oder auch einfach nur anklopft, weil es sich verirrt.

Ich muss aber im gleichen Atemzug erwähnen, dass ich die Logs der Firewalls in der Firma so gut wie nie näher betrachte - bei rd. 30 MB pro Tag, die unsere PIXen generieren, wird selbst mit einer Analysesoftware die Auswertung ziemlich mühsam.

Hab's nicht gelernt... Erklät!

gepeinigter_aon_neukunde — Wed, 23 Mar 2005 12:58:09 GMT

Hi !

Also meine Erfahrung ist folgende:
Die Logfiles füllen sich mit Masse mit Port-135-Versuchen - soweit D'Accord.

Ich versuchte daher öfters (wenn gerade in der Sekunde ein Log-Eintrag passierte) ein smblient -M zu der AbsenderIP - um demjenigen Mitzuteilen, daß er vervirt ist.

Bin aber draufgekommen, daß ich mich nie hinkonnekten konnte.
Als nächstes versuchte ich immer ein Ping hin - das auch nie beantwortet wurde.

Das läßt 2 Schlußfolgerungen zu:

Die Leute haben inzwischen ihre FW aktiviert

Das erscheint für mich aber hochgradig unwahrscheinlich... daß praktisch alle Vervirten sicherheitsbewußt genug wurden um nachträglich Maßnahmen zu ergreifen und trotzdem so dämlich waren, dabei keinen Systemcheck zu fahren...

oder
Die Viren verbreiten sich mit gefakter AbsendeIP.

Selbst wenn man via TCP fährt, könnte der Virenverteiler ja die AbsendeIP faken - und quasi im Blindflug die SYN/ACK-Packages loswerden - ähnlich wie bei jedem anderem IP-Spoofing.

Sorry, aber letztere Variante klingt für mich glaubwürdiger. Deiner QuellIP-Auswertung würde ich daher net trauen...

cu
gepeinigter.

Re(6): Manche lernen's anscheinend nie...

theonlymerlin — Wed, 23 Mar 2005 12:43:08 GMT

Hast du recht, ich war bisher einfach zu faul *ggg*

die aufrichtigkeit ehrt Dich!

yup, bin ja auch ein bekennender Feigling

auch dieses eingeständnis ehrt Dich!

Re(5): Manche lernen's anscheinend nie...

Cereal_Poster — Wed, 23 Mar 2005 12:14:11 GMT

vertrauen ist gut - kontrolle, wenn technisch möglich, ist besser!

Hast du recht, ich war bisher einfach zu faul *ggg*

feigling!!!

yup, bin ja auch ein bekennender Feigling

Re(4): Manche lernen's anscheinend nie...

theonlymerlin — Wed, 23 Mar 2005 12:09:09 GMT

na was? ich vertrau da auf meinen Linksys Router und meine McAfee Firewall voll und ganz

vertrauen ist gut - kontrolle, wenn technisch möglich, ist besser!

Und in der Firma versteck ich mich eh hinter Netscreen FWs und
*TRÖT*filters...

feigling!!!

Re(3): Manche lernen's anscheinend nie...

Cereal_Poster — Wed, 23 Mar 2005 12:04:59 GMT

na was? ich vertrau da auf meinen Linksys Router und meine McAfee Firewall voll und ganz
Und in der Firma versteck ich mich eh hinter Netscreen FWs und *TRÖT*filters...

Re(2): Manche lernen's anscheinend nie...

theonlymerlin — Wed, 23 Mar 2005 11:59:02 GMT

Oder ist das dein privates Logfile? (DAS hab ich mir zugegebenermaßen auch noch nie angesehen )

SHAME ON U!

Re: Manche lernen's anscheinend nie...

Cereal_Poster — Wed, 23 Mar 2005 11:56:34 GMT

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen, oder gehöre ich zu einer Minderheit?

Ich wäre ja schon froh, wenn sich so mancher Kunde die Logfiles seiner Produktivsysteme mal ansehen würde (und die legen wir schon als direkte Verknüpfung auf den Desktop)....da findest dann wieder mal Einträge, dass seit einem halben Jahr keine Sicherung lief. Kommentar vom Kunden: "Ich hab das Band eh jeden Tag getauscht"...dass dieses Bandl aber jeden Tag fetzenleer war, ist ne andere Sache.....und da denkst du dann wirklich dass sich solche Leute ein Firewalllog ansehen???
Oder ist das dein privates Logfile? (DAS hab ich mir zugegebenermaßen auch noch nie angesehen )

Re: Manche lernen's anscheinend nie...

theonlymerlin — Wed, 23 Mar 2005 11:49:03 GMT

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen, oder gehöre ich zu einer Minderheit?

Du bist damit nicht (ganz) alleine!
und es ist immer wieder auf's neue faszinierend, auf welchen ports da was "läuft" ...

Re: Manche lernen's anscheinend nie...

Twist — Wed, 23 Mar 2005 10:14:19 GMT

so lange netzwerk admins wie mein "kollege" der meinung sind das man nicht alle updates einspielen müsse, viren definitionen 6 monate aktuell sind und eine firewall überflüssig ist wird es immer so weiter gehen....

bei programmen wie spybot, adaware und einer software firewall bekommt er die krise...

najo zumindest nod32 für unsere aussendienst laptops konnte ich inzwischen durchsetzten....

was er von lizenzen kaufen hält will ich hier nicht ausführen...

Re: Manche lernen's anscheinend nie...

Killing-Fields — Wed, 23 Mar 2005 09:40:27 GMT

Bist Du vielleicht ein Spielverderber...
Man wird ja wohl noch anklopfen dürfen, oder?
Wenn's Dir langweilig ist, dann unternimm was dagegen...die Adressen/Ports hast ja eh schon...ich sage nur: remote-shutdown aber wenn's gaaanz lustig werden soll, dann gäbe es da noch anderes Spielzeug für 'Zwischendurch'

AVE ZOMBIES *LOL*

Re: Manche lernen's anscheinend nie...

Cornflakes Outta Skull Eater — Wed, 23 Mar 2005 00:39:48 GMT

Wenn ein paar IP-Adressen wirklich penetrant sind, kontaktiere ich schon den jeweiligen ISP.

Re: Manche lernen's anscheinend nie...

Pervasive — Tue, 22 Mar 2005 23:52:01 GMT

Nein Du bist nicht der Einzige und ich "fühle" mit Dir...

Re(2): Manche lernen's anscheinend nie...

Glockman — Tue, 22 Mar 2005 23:12:42 GMT

und worauf stützt du deine these, dass es sich bei den "angreifern" auf deinem port 135 um rechner handelt, die den patch nicht eingespielt haben?

Relativ einfach: hat man damals den Patch nicht eingespielt, dann war man entweder gleich infiziert oder bekam diese netten "NTAUTHORITÄT/SYSTEM" Meldungen.

Nachdem zweifellos der Großteil derer, die gleich infiziert waren, und auch jene, die die Meldung nur ein paar mal hatten, sich nicht nur den Blaster, sondern so ziemlich jeden anderen Wurm/Virus eingefangen haben, der da herumgeschwirrt ist (und es wahrscheinlich nach wie vor tut), war das System irgendwann mal so im Eck, dass da neu aufgesetzt wurde - wieder ohne Patch, und das Spiel geht von vorne los.
Oder noch besser, es wurde ein ungepatches Image zurückgespielt, das unter Umständen schon den Wurm enthielt ("Neu aufsetzen? Wenn was nicht geht, spiel ich halt das Image zurück, geht ja viel schneller").

und was ist dein beweis dafür, das rechner, die diesen patch eingespielt haben deinen rechner nicht angreifen?

Nun, Beweis würde ich das das Folgende zwar nicht nennen, aber wenn man den Patch eingespielt hat zeugt das für mich zumindest von ein bisschen Verständnis, und da liegt dann der Schluss auch nahe, dass dort nach erkanntem Problem ein Virenscan gelaufen ist, wobei dann selbst vom so oft bekrittelten NAV zumindest erkannt wurde, was da nicht stimmt.

Und ja, mir ist bewusst, dass es sich bei Anfragen auf Port 135 nicht zwangsläufig um ein mit einem Virus infizierten System handeln muss, das da anklopft, aber bei dieser Häufigkeit von Irrläufern, Versehen oder Sonstigem zu sprechen halte ich für sehr unwahrscheinlich.

Re(2): Manche lernen's anscheinend nie...

Superflo — Tue, 22 Mar 2005 22:33:05 GMT

Najo, was glaubstn du, wo das sonst herkommt?

Re: Manche lernen's anscheinend nie...

alexk — Tue, 22 Mar 2005 21:52:56 GMT

und worauf stützt du deine these, dass es sich bei den "angreifern" auf deinem
port 135 um rechner handelt, die den patch nicht eingespielt haben?

und was ist dein beweis dafür, das rechner, die diesen patch eingespielt haben
deinen rechner nicht angreifen?

Re(3): Manche lernen's anscheinend nie...

mko — Tue, 22 Mar 2005 21:12:45 GMT

Ich bin sicher fürs syslog gibts auch ein paar Logviewer, aber so sehr interessierts mich auch nicht

Re(2): Manche lernen's anscheinend nie...

Glockman — Tue, 22 Mar 2005 21:10:23 GMT

hab auch keine so schönen Statistiken wie du

Die sind ja auch nicht wirklich von mir, aber mit diesem Tool ist das recht schön möglich:
http://www.logviewer.de.vu/

Geht aber nur mit NIS bzw. AtGuard, dafür werden Linksys Router per SNMP unterstützt.

Hab grad gesehen, da gibts mittlerweile schon eine wesentlich neuere Version als die, die ich verwende, inkl. einem Netzwerkmonitor, und das ist auch noch Freeware
Leider ist die Seite grad ein wenig lahm

Re: Manche lernen's anscheinend nie...

mko — Tue, 22 Mar 2005 20:55:49 GMT

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen,
oder gehöre ich zu einer Minderheit?

Ich schaus fast nie an...hab auch keine so schönen Statistiken wie du

Manche lernen's anscheinend nie...

Glockman — Tue, 22 Mar 2005 20:50:29 GMT

Schönen Guten allerseits,

ich hab keine geeignete Stelle gefunden, an der ich das hier loswerden könnte, also poste ich mal in diese Rubrik; gehört noch am ehesten hier rein.

Ich hab mal wieder meine Firewallstatistik durchgeschaut, und dachte mir, ich seh nicht recht; zur Verdeutlichung hier 2 Graphen, die mich staunen ließen.

Das sind die Top 10 Ports, an die Anfragen geschickt wurden, Zeitraum: 1 Monat

Wie man recht schön erkennen kann gibt es immer noch genug Leute, die schlicht und einfach zu blöd sind, Patches einzuspielen (ich erinnere: Port 135 war/ist der Zielport der RPC/DCOM Lücke, die MSBlast, Lovesan & Co verwendeten).
Datum der Veröffentlichung der Patches dagegen: 10. September 2003 (!) bzw. 13. April 04.

Auf der Suche nach den Top 10 "Angreifern" auf Port 135 zeigt sich auch ein nettes Bild:

Der Spitzenreiter mit 750 Versuchen - nur dass dieses Diagramm nicht etwa ein ganzes Monat, sondern lediglich 24 Stunden wiederspiegelt.

Ich mein, mich erschüttert ja mittlerweile fast nichts mehr, aber angesichts dieser Zahlen frag ich mich schön langsam wirklich, ob man providerseitig nicht gegen solche Leute vorgehen sollte und den Zugang zum Netz abdreht - mit dem Hinweis, man gefährdert andere. Ist ja sonst auch gang und gäbe, dass man "zum Wohle der Anderen" bevormundet wird, aber nein, wenns um den Rechner geht haben alle Narrenfreiheit...

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen, oder gehöre ich zu einer Minderheit?