Manche lernen's anscheinend nie...

Manche lernen's anscheinend nie... (37 Beiträge, 770 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Schönen Guten allerseits,

ich hab keine geeignete Stelle gefunden, an der ich das hier loswerden könnte, also poste ich mal in diese Rubrik; gehört noch am ehesten hier rein.

Ich hab mal wieder meine Firewallstatistik durchgeschaut, und dachte mir, ich seh nicht recht; zur Verdeutlichung hier 2 Graphen, die mich staunen ließen.

Das sind die Top 10 Ports, an die Anfragen geschickt wurden, Zeitraum: 1 Monat

Wie man recht schön erkennen kann gibt es immer noch genug Leute, die schlicht und einfach zu blöd sind, Patches einzuspielen (ich erinnere: Port 135 war/ist der Zielport der RPC/DCOM Lücke, die MSBlast, Lovesan & Co verwendeten).
Datum der Veröffentlichung der Patches dagegen: 10. September 2003 (!) bzw. 13. April 04.

Auf der Suche nach den Top 10 "Angreifern" auf Port 135 zeigt sich auch ein nettes Bild:

Der Spitzenreiter mit 750 Versuchen - nur dass dieses Diagramm nicht etwa ein ganzes Monat, sondern lediglich 24 Stunden wiederspiegelt.

Ich mein, mich erschüttert ja mittlerweile fast nichts mehr, aber angesichts dieser Zahlen frag ich mich schön langsam wirklich, ob man providerseitig nicht gegen solche Leute vorgehen sollte und den Zugang zum Netz abdreht - mit dem Hinweis, man gefährdert andere. Ist ja sonst auch gang und gäbe, dass man "zum Wohle der Anderen" bevormundet wird, aber nein, wenns um den Rechner geht haben alle Narrenfreiheit...

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen, oder gehöre ich zu einer Minderheit?

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen,
oder gehöre ich zu einer Minderheit?

Ich schaus fast nie an...hab auch keine so schönen Statistiken wie du

hab auch keine so schönen Statistiken wie du

Die sind ja auch nicht wirklich von mir, aber mit diesem Tool ist das recht schön möglich:
http://www.logviewer.de.vu/

Geht aber nur mit NIS bzw. AtGuard, dafür werden Linksys Router per SNMP unterstützt.

Hab grad gesehen, da gibts mittlerweile schon eine wesentlich neuere Version als die, die ich verwende, inkl. einem Netzwerkmonitor, und das ist auch noch Freeware

Leider ist die Seite grad ein wenig lahm

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Ich bin sicher fürs syslog gibts auch ein paar Logviewer, aber so sehr interessierts mich auch nicht

und worauf stützt du deine these, dass es sich bei den "angreifern" auf deinem
port 135 um rechner handelt, die den patch nicht eingespielt haben?

und was ist dein beweis dafür, das rechner, die diesen patch eingespielt haben
deinen rechner nicht angreifen?

greets
alex
-*--

_____________________

Najo, was glaubstn du, wo das sonst herkommt?

und worauf stützt du deine these, dass es sich bei den "angreifern" auf deinem port 135 um rechner handelt, die den patch nicht eingespielt haben?

Relativ einfach: hat man damals den Patch nicht eingespielt, dann war man entweder gleich infiziert oder bekam diese netten "NTAUTHORITÄT/SYSTEM" Meldungen.

Nachdem zweifellos der Großteil derer, die gleich infiziert waren, und auch jene, die die Meldung nur ein paar mal hatten, sich nicht nur den Blaster, sondern so ziemlich jeden anderen Wurm/Virus eingefangen haben, der da herumgeschwirrt ist (und es wahrscheinlich nach wie vor tut), war das System irgendwann mal so im Eck, dass da neu aufgesetzt wurde - wieder ohne Patch, und das Spiel geht von vorne los.
Oder noch besser, es wurde ein ungepatches Image zurückgespielt, das unter Umständen schon den Wurm enthielt ("Neu aufsetzen? Wenn was nicht geht, spiel ich halt das Image zurück, geht ja viel schneller").

und was ist dein beweis dafür, das rechner, die diesen patch eingespielt haben deinen rechner nicht angreifen?

Nun, Beweis würde ich das das Folgende zwar nicht nennen, aber wenn man den Patch eingespielt hat zeugt das für mich zumindest von ein bisschen Verständnis, und da liegt dann der Schluss auch nahe, dass dort nach erkanntem Problem ein Virenscan gelaufen ist, wobei dann selbst vom so oft bekrittelten NAV zumindest erkannt wurde, was da nicht stimmt.

Und ja, mir ist bewusst, dass es sich bei Anfragen auf Port 135 nicht zwangsläufig um ein mit einem Virus infizierten System handeln muss, das da anklopft, aber bei dieser Häufigkeit von Irrläufern, Versehen oder Sonstigem zu sprechen halte ich für sehr unwahrscheinlich.

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Nein Du bist nicht der Einzige und ich "fühle" mit Dir...

An die dumme Stirne gehört als Argument von Rechts wegen die geballte Faust.

Wenn ein paar IP-Adressen wirklich penetrant sind, kontaktiere ich schon den jeweiligen ISP.

Bist Du vielleicht ein Spielverderber...

Man wird ja wohl noch anklopfen dürfen, oder?

Wenn's Dir langweilig ist, dann unternimm was dagegen...die Adressen/Ports hast ja eh schon...ich sage nur: remote-shutdown

aber wenn's gaaanz lustig werden soll, dann gäbe es da noch anderes Spielzeug für 'Zwischendurch'

AVE ZOMBIES *LOL*
------------------------------------------------------------------------------
Was die Menschheit bräuchte ist Nächstenliebe und Toleranz.
Was die Menschheit bietet ist aber leider Neid, Machtstreben, Geldgier, Rachgier, Individualismus und Egoismus.
Wer dabei denken sollte "Man kann es nicht ändern" hat doch irgendwie recht,
denn wir sind alle nur Menschen...

so lange netzwerk admins wie mein "kollege" der meinung sind das man nicht alle updates einspielen müsse, viren definitionen 6 monate aktuell sind und eine firewall überflüssig ist wird es immer so weiter gehen....

bei programmen wie spybot, adaware und einer software firewall bekommt er die krise...

najo zumindest nod32 für unsere aussendienst laptops konnte ich inzwischen durchsetzten....

was er von lizenzen kaufen hält will ich hier nicht ausführen...

--
Forget IE!

"Wo Unrecht zu Recht wird, wird Widerstand zur Pflicht." Bertolt Brecht

Suchbild, wo ist der Kanarienvogel *gg*

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen, oder gehöre ich zu einer Minderheit?

Du bist damit nicht (ganz) alleine!

und es ist immer wieder auf's neue faszinierend, auf welchen ports da was "läuft" ...

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen, oder gehöre ich zu einer Minderheit?

Ich wäre ja schon froh, wenn sich so mancher Kunde die Logfiles seiner Produktivsysteme mal ansehen würde (und die legen wir schon als direkte Verknüpfung auf den Desktop)....da findest dann wieder mal Einträge, dass seit einem halben Jahr keine Sicherung lief. Kommentar vom Kunden: "Ich hab das Band eh jeden Tag getauscht"...dass dieses Bandl aber jeden Tag fetzenleer war, ist ne andere Sache.....und da denkst du dann wirklich dass sich solche Leute ein Firewalllog ansehen???

Oder ist das dein privates Logfile? (DAS hab ich mir zugegebenermaßen auch noch nie angesehen

)

lg
Cereal

Oder ist das dein privates Logfile? (DAS hab ich mir zugegebenermaßen auch noch nie angesehen )

SHAME ON U!

na was? ich vertrau da auf meinen Linksys Router und meine McAfee Firewall voll und ganz

Und in der Firma versteck ich mich eh hinter Netscreen FWs und *TRÖT*filters...

lg
Cereal

na was? ich vertrau da auf meinen Linksys Router und meine McAfee Firewall voll und ganz

vertrauen ist gut - kontrolle, wenn technisch möglich, ist besser!

Und in der Firma versteck ich mich eh hinter Netscreen FWs und
*TRÖT*filters...

feigling!!!

vertrauen ist gut - kontrolle, wenn technisch möglich, ist besser!

Hast du recht, ich war bisher einfach zu faul

*ggg*

feigling!!!

yup, bin ja auch ein bekennender Feigling

lg
Cereal

Hast du recht, ich war bisher einfach zu faul *ggg*

die aufrichtigkeit ehrt Dich!

yup, bin ja auch ein bekennender Feigling

auch dieses eingeständnis ehrt Dich!

Ja, ist das Logfile von daheim. Bei mir gibt's nach Möglichkeit die monatliche Durchsicht, einfach so aus Neugier, was da so alles reinwill, versucht wird, oder auch einfach nur anklopft, weil es sich verirrt.

Ich muss aber im gleichen Atemzug erwähnen, dass ich die Logs der Firewalls in der Firma so gut wie nie näher betrachte - bei rd. 30 MB pro Tag, die unsere PIXen generieren, wird selbst mit einer Analysesoftware die Auswertung ziemlich mühsam.

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

ok...das mit den 30MB Logfiles täglich ist plausibel und eine gute Entschuldigung

Aber manche meiner Kunden können nicht mal eine Zeile täglich lesen...nämlich "NOT" oder "OK"

lg
Cereal

ok...das mit den 30MB Logfiles täglich ist plausibel und eine gute
Entschuldigung

Naja, Entschuldigung kann und soll das keine sein, und wenn ich nur das tun könnte/müsste würde es auch gemacht werden, nur hab ich relativ viel sonst noch zu tun, wie das halt so üblich ist

Aber manche meiner Kunden können nicht mal eine Zeile täglich lesen...nämlich "NOT" oder "OK"

Ja, das tut wirklich weh.

Aber falls es Dir ein Trost ist: unsere Kollegen in Amerika schauen sich Logfiles und Eventlogs anscheinend auch nur an, wenn was mal offensichtlich nicht geht; hab mal auf ein kleines Problem aufmerksam gemacht, und auf die Frage, wie ich drauf kam, erwähnt, dass ich das Logfile routinemäßig angeschaut hab, da kam von drüben dann nur "Was? Du machst das regelmäßig?"

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Hi !

Also meine Erfahrung ist folgende:
Die Logfiles füllen sich mit Masse mit Port-135-Versuchen - soweit D'Accord.

Ich versuchte daher öfters (wenn gerade in der Sekunde ein Log-Eintrag passierte) ein smblient -M zu der AbsenderIP - um demjenigen Mitzuteilen, daß er vervirt ist.

Bin aber draufgekommen, daß ich mich nie hinkonnekten konnte.
Als nächstes versuchte ich immer ein Ping hin - das auch nie beantwortet wurde.

Das läßt 2 Schlußfolgerungen zu:

Die Leute haben inzwischen ihre FW aktiviert

Das erscheint für mich aber hochgradig unwahrscheinlich... daß praktisch alle Vervirten sicherheitsbewußt genug wurden um nachträglich Maßnahmen zu ergreifen und trotzdem so dämlich waren, dabei keinen Systemcheck zu fahren...

oder
Die Viren verbreiten sich mit gefakter AbsendeIP.

Selbst wenn man via TCP fährt, könnte der Virenverteiler ja die AbsendeIP faken - und quasi im Blindflug die SYN/ACK-Packages loswerden - ähnlich wie bei jedem anderem IP-Spoofing.

Sorry, aber letztere Variante klingt für mich glaubwürdiger. Deiner QuellIP-Auswertung würde ich daher net trauen...

cu
gepeinigter.

Ich versuchte daher öfters (wenn gerade in der Sekunde ein Log-Eintrag
passierte) ein smblient -M zu der AbsenderIP - um demjenigen Mitzuteilen, daß
er vervirt ist.

Bin aber draufgekommen, daß ich mich nie hinkonnekten konnte.

Ja, das hab ich auch schon mal gemacht/probiert.
Nur mit dem erschreckenden Erbegnis: ein einfaches "dir \\[Remote-IP]\c$" hat gereicht, um auf den Rechner zu kommen, mit einem telnet auf Port 135 war ich auch schon erfolgreich, und obwohl ich Textfiles auf Desktop und in den Autostart kopiert hab war ein paar Tage später der selbe User erreichbar...

Deiner QuellIP-Auswertung würde ich daher net trauen...

Es geht mir ja auch nicht unbedingt um den Verursacher sondern schlicht und einfach um die Tatsache, dass es nach wie vor diese Schleudern gibt.

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Naja, du hast ja extra betont, daß eine QuellIP besonders aktiv war... Nur hat das IMHO nix zu bedeuten.

Deinen Tipp werde ich aber verwenden:

nächstes mal schick ich ein smbmount los und änder' seinen Bootvorgang und laß den Text "Du *PIEP* hast nen Virus. Mach was dagegen" auf seinem Schirm erscheinen

Naja, du hast ja extra betont, daß eine QuellIP besonders aktiv war... Nur hat das IMHO nix zu bedeuten.

Für mich mit Deiner Spoofing-Version aber doch soviel, als dass da halt ein anderer relativ aktiv war, oder meinst Du, da hat jemand einen Virus programmiert, der von allen Rechnern auf denen er läuft mit der selben gefaketen IP rausgeht, und sich dann gezielt nur eine sucht (in dem Fall mich), die er angreift?

greetz

glockman

- Ich bin ein Geek und steh dazu -

This system is

Gab schon blödere Algorithmen...
Wenn er zB einfach immer 4Byte-Blöcke aus dem eigenen Programm nimmt

Ich sag ja nicht, daß du unrecht haben mußt... Ich hätt' nur net deine Sicherheit

ich schau die log-files meines routers hin und wieder durch, und ja, fast alles ist auf den port 135 zu finden

Suchbild, wo ist der Kanarienvogel *gg*

aja noch was, weißt du zufällig was der port 445 macht? der ist bei meinen logs auch sehr oft dabei...

Suchbild, wo ist der Kanarienvogel *gg*

http://www.petri.co.il/what's_port_445_in_w2k_xp_2003.htm
http://www.linklogger.com/TCP445.htm

Suche im Forum
Suche im Internet (Google)
Was ist?
Forums-FAQ
Kino 2005

danke

Suchbild, wo ist der Kanarienvogel *gg*

Macht sich eingentlich noch jemand die Mühe, sich Logfiles durchzuschauen

Wozu sollte man das tun?
Mein Rechner läuft auch ohne dass ich weis, was alles an Unkraut drauf ist.

http://www.ipcop.org http://www.iptables.org

26.03.2005, 15:49 Uhr - Editiert von HITCHER, alte Version: hier

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung