F: PC führt selbständig Neustart durch - wieso?!?
Kevin
Mein PC hat seit heute Abend ein Eigenleben! Er fährt das System selbständig
herunter, wenn man sich ins Internet eingewählt hat! Folgende Meldungen
erscheinen in einem eigenen Fenster "System herunterfahren":
Das System wird heruntergefahren. Speichern
Sie alle Daten, und melden Sie sich ab. Alle
Änderungen, die nicht gespeichert werden,
gehen verloren. Das Herunterfahren wurde
von NT-AUTORITÄT\SYSTEM ausgelöst
Zeit bis zum Herunterfahren: 00:01:00
Meldung:
Windows muss jetzt neu gestartet werden,
da der Dienst Remoteprozeduraufruf (RPC)
unerwartet beendet wurde
Wo liegt denn der Fehler bzw. wie kann ich das abstellen! Eine Auswahl (z.B.
Abbrechen) lässt das System überhaupt nicht zu!
Außerdem ist mir aufgefallen, dass das System eine Datei MSBLAST.EXE
automatisch startet, deren Herkunft ich nicht kenne. Deaktiviert man diese
Datei im Programm msconfig.exe wird es automatisch wieder aktiviert.
Habe ich mir einen Virus eingefangen oder liegt es nur an einer falschen
Interneteinstellung (wegen dem RPC)?
Hoffentlich kann mir jemand weiterhelfen!
MfG
Kevin
Maaged Mazyek
> [...]
> Mein PC hat seit heute Abend ein Eigenleben! Er fährt das System selbständig
> herunter, wenn man sich ins Internet eingewählt hat! Folgende Meldungen
> erscheinen in einem eigenen Fenster "System herunterfahren":
>
> [...]
>
hallo,
Wird wohl der Wurm sein (mit integriertem rpc-exploit) habe das auch
schon von anderen gehört,
seit ner Woche häufiger unterwegs. Schalte den Dienst aus, wenn du ihn
nicht brauchst, dann
sollte das Problem gelöst sein.
oder patche: http://www.nacs.uci.edu/security/MicrosoftRPCExploit.html
bzw: http://www.google.de/search?q=rpc+exploit=
gruß,
Maaged
Torsten Boeckers
[...]
> Wo liegt denn der Fehler bzw. wie kann ich das abstellen! Eine
> Auswahl (z.B. Abbrechen) lässt das System überhaupt nicht zu!
> Außerdem ist mir aufgefallen, dass das System eine Datei MSBLAST.EXE
> automatisch startet, deren Herkunft ich nicht kenne. Deaktiviert man
> diese Datei im Programm msconfig.exe wird es automatisch wieder
> aktiviert.
> Habe ich mir einen Virus eingefangen oder liegt es nur an einer
> falschen Interneteinstellung (wegen dem RPC)?
>
> Hoffentlich kann mir jemand weiterhelfen!
> MfG
>
> Kevin
Hallo,
hatte gerade dasselbe auf meinem Rechner und schon ein eigenes Posting
verfasst...
Sophos hat nichts verdächtiges gefunden, sofort nach Verbindung zum
Internet Verbindungen auf Port 135 zu IPs, die tracert nicht verfolgen
konnte, der tolle Countdown und maxblast.exe als verdächtiger Prozess.
Hab im System32-Verzeichnis die Maxblast.exe sowie die Reg-Einträge
gelöscht. Danach msconfig durchforstet, aber nichts mehr gefunden. Der
Prozess wird auch nicht mehr gestartet.
Seltsam, dass google zu msblast.exe nichts gefunden hat (ebenso
groups.google).
Gruss
Torsten
Rodxxx
hier deine problemlösung X-x#
Martin Wiechers
news:bh8kfl$gse$1...@nets3.rz.RWTH-Aachen.DE...
[snip]
Hi,
habe genau das gleiche um ca. 19.37 Uhr erlebt. Nach zwei Shutdowns hatte
ich dann genügend Zeit,
das Sicherheitsupdate von MS wegen des RPC Bufferoverflowbugs zu laden. Nach
Installation desselben
läuft der Rechner wieder normal. Allerdings habe ich auch etwas später die
msblast.exe entdeckt, welche
anscheinend ports mit epmaps (endpointmappings) für einen bestimmten
ip-adressraum (ca.20 adressen)
offenhält (jedenfalls zeigt netstat die ports nicht mehr an, wenn ich
msblast lösche).
Gruß,
Martin
Tubbster
bei mir ist's das selbe Problem....ich ahne böses...
Msblast.exe versucht irgendwie vom Rechner aus auf ne externe IP
Adresse zuzugreifen mit Port 135...kann es aber mit ZoneAlarm blocken
und so den Fehler verhindern
Datenmann
Ich habe ebenfalls diese Datei auf meinem Rechner gefunden. Ich kann
mir nicht so 100%ig erklären, wieso mein Rechner einfach runterfährt,
es gibt aber zwei Möglichkeiten:
Nr.1 : Angriff auf das System, d.h. es wird ein Bufferoverflow
generiert, der die Datei svchost.exe zum Absturz bringt. Ich habe eben
irgendwo gelesen, dass Hacker oder Scriptkiddies einen Bug in Windows
XP ausnutzen können (Ports 135 und 140).
Nr.2: Eher unwahrscheinlich: mein System ist kaputt und bedarf einer
Neuinstallation.
Es gibt zu Nr. 1 einen Patch, weiss aber noch nicht ob er hilft:
http://microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
Ich meine auch, dass der Shutdown erst kam, als ich meine Firewall
ausgeschaltet habe. Werde mal ein Auge darauf werfen....
Gruss,
Datenmann
Kobold
kann dir leider nur sagen dass es mir genauso geht.
Seit ca 2 bis 3 Stunden.
Hab hier zwei Rechner stehen bei denen das passiert.
Habe mal für meine Verbindung die Internetfirewall aktiviert,
bislang mit Erfolg.
Ich hab ebenfalls ne MSBLAST.exe in der autostart.
Bei meinem zweiten Rechner habe ich vorhin mitbekommen,
dass sich übers ICQ ein "Addon" installiert hat, ohne dass ich was dagegen
machen konnte.
Seit dem hat der des Problem auch.
Aktuelle Virenscanner finden noch nix.
Müssen wir wohl mal abwarten.
MFG
Kobold
Kobold
http://www.nacs.uci.edu/security/MicrosoftRPCExploit.html
lies mal durch.
Da werden sie geholfen
mfg
Kobold
Marc Rehman
You are infected with the latest RPC worm.
Look here : http://isc.sans.org/diary.html?date=2003-08-11
Patch your system
Remove the Regkey/Executable
Yves Schmoker
> Mein PC hat seit heute Abend ein Eigenleben! Er fährt das System selbständig
> herunter, wenn man sich ins Internet eingewählt hat! Folgende Meldungen
> erscheinen in einem eigenen Fenster "System herunterfahren":
>
> Das System wird heruntergefahren. Speichern
> Sie alle Daten, und melden Sie sich ab. Alle
> Änderungen, die nicht gespeichert werden,
> gehen verloren. Das Herunterfahren wurde
> von NT-AUTORITÄT\SYSTEM ausgelöst
>
> Zeit bis zum Herunterfahren: 00:01:00
>
> Meldung:
> Windows muss jetzt neu gestartet werden,
> da der Dienst Remoteprozeduraufruf (RPC)
> unerwartet beendet wurde
>
sehr interessant... genau das gleiche Problem habe ich seit heute (!!)
auch. Ohne irgendwelche Downloads oder Neuinstallationen, einfach so.
Ich habe mich hier mal ein bisschen umgesehen, und folgende Lösung
gefunden, die bei mir bis jetzt geklappt hat, sprich, es hat noch
keinen weiteren Neustart gegeben.
Also:
>
> Wo liegt denn der Fehler bzw. wie kann ich das abstellen!
Start - Einstellungen - Systemsteuerung - Verwaltung - Dienste und
dann beim Remoteprozeduraufruf unter dem Reiter Wiederherstellen alles
auf "Dienst neu starten" stellen. Somit wird der PC nicht mehr neu
gestartet.
Was genau die Ursache dieses Problems ist weiss ich auch nicht, bin
einfach froh dass ich wieder mehr als 3 Minuten am Stück arbeiten
kann!
So, hoffe geholfen haben zu können
Freundliche Grüsse aus der Schweiz
YVes
Meick Meibaum
infos. Einfach unter Suchen dort den namen eingeben. Ich habe ihn
selber auf meinem Rechner. Wenn du Norton Antivirus hast musst du dir
Manuel die neusten Virus Defs (Beta) runterladen und installieren.
Dann findet der den. Bei McAfee ist nach einem Virusdef upd. und einem
Voll Systemscan alles wieder in Ordnung!
Boris
Ist ein neuer Trojaner der sich des neu entdeckten RPC Bugs in XP und
2k bedient. Unbedingt den Patch:
Installieren und die datei entfernen.
Ausserdem sämtliche vorkommen von msblast.exe in der registy löschen.
Hatte grade das selbe Problem
Aquagen2X
bei meiner Freundin und mir ist das selbe Problem urplötzlich seit
heute Nachmittag aufgetreten. Habe im Taksmanager mir die Dienste
angeschaut und mir ist auch aufgefallen, dass da auf einmal diese
msblast.exe drin stand, die da gar nicht reingehört. Die ist schuld an
allem. (Schaut man in den Quelltext der exe, lacht sich dort auch
jemand über Bill Gates und seine Sicherheitslücken kaputt). Du mußt
also den Dienst aus dem Taskmanager herausnehmen und dann im Ordner
Windows/System32 die msblast.exe löschen, die bei mir auch passend
genau am 11.08.2003 erst erstellt wurde.
Dann geh mit Start->Ausführen->regedit.exe in den Registrierungseditor
und Suche nach der Zeichenkette runonce. Direkt über dem Ordner
findest du dann den Ordner "Run". In diesem ist eine Zeile mit dem
Namen "Windows Auto Update" und dem dazugehörigen Wert "masblast.exe".
Lösche diese Zeile mit Entf, schließe die Registry und starte dein
System neu - dann ist der Spuck erstmal vorbei.
Ich sage erstmal, weil trotz Firewall, Spamfilter, keine Attachments
bei eMail hat es das Teil auf unsere Rechner geschafft. Es scheint
sich also wirklich um ein gewaltiges Sicherheitsloch in XP/NT zu
handeln, so dass das Ding schon bald wieder auf der Kiste sein könnte.
:-///
Aqua!
"Kevin" <Kevi...@gmx.de> wrote in message news:<bh8kfl$gse$1...@nets3.rz.RWTH-Aachen.DE>...
Gunter Ohrner
> gehen verloren. Das Herunterfahren wurde
> von NT-AUTORITÄT\SYSTEM ausgelöst
> da der Dienst Remoteprozeduraufruf (RPC)
> unerwartet beendet wurde
> Außerdem ist mir aufgefallen, dass das System eine Datei MSBLAST.EXE
> automatisch startet, deren Herkunft ich nicht kenne. Deaktiviert man diese
http://www.heise.de/newsticker/foren/go.shtml?read=1&msg_id=3968974&forum_id=46003
Da hat wohl einer länger keine Updates eingespielt? :-)
Schon ärgerlich sowas... :-/ Vor allem die Neuinstallation und das Ändern
aller Passwörter nach einer Kompromittierung um garantiert alle Reste von
dem Trojaner zu entfernen und einen erneuten Einbruch zu verhindern ist da
ätzend... :-(
Grüße,
Gunter
--
The hippo of recollection stirred in the muddy waters of the mind.
-- (Terry Pratchett, Soul Music)
*** PGP-Verschlüsselung bei eMails erwünscht :-) *** PGP: 0x1128F25F ***
Marcus Frings
aufheulen und all die PCs infiziert sind. Leute, wann lernt Ihr endlich
rechtzeitig Security Updates einzuspielen?
Gruß,
Mar"sich königlich amüsierend"cus
--
"Menschen sterben des Nachts in ihren Betten, während sie gespenstischen
Beichtigern die Hände drücken und ihnen flehend in die Augen sehen - sterben
mit verzweifeltem Herzen und Angst zerpreßter Kehle, weil sie das Entsetzen von
Geheimnissen durchkosten, die sich nicht enthüllen lassen."
Willi Pueschel
> Muahahahahahahahahahahahahaha! Ist das geil, wie die Leute hier
> aufheulen und all die PCs infiziert sind. Leute, wann lernt Ihr endlich
> rechtzeitig Security Updates einzuspielen?
Hehehe, sei doch nicht so hart, Marcus. Sie sind schon genug gestraft. ;-)
Gruß,
Willi (... dessen einziger produktiver NT Server schon vor einer Weile
gepatcht wurde.)
--
Key-ID 0x394A84F8
Eric Rother
Über das Wieso kann ich leider nichts sagen - klingt jedenfalls nach
einem Angriff aus dem Internet! Habe das Gleiche selber erlebt, und
auch bei einem Freund kam die selbe Meldung. Allerdings kann man unter
"Systemsteuerung" - "Computerverwanltung" - "Dienste und Anwendungen"
- "Dienste" - Remoteprozedurenaufruf (RPC)" - "Wiederherstellen" die
Einstellungen vornehmen, wie das System auf den auftretenden Fehler
reagieren soll. Stellt man hier die vorgegebenen Einstellungen
"Computer neu starten" auf "Keine Aktion durchführen" oder evtl. auch
"Dienst neu starten" (das habe ich noch nicht probiert, könnte aber
genauso funktionieren), kommt es zumindest nicht mehr zum
Zwangs-Neustart. Ob es allerdings sinnvoll ist, mit dieser Aktion das
System einer eventuellen Selbstschutz von Windows auszuhebeln, das
kann ich nicht beantworten. Aber für den Anfang scheint es zumindest
zu helfen.
Eric
Andreas Voigt
Das ist auf jeden Fall ein neuer Virus!
Eine Datei Names msblast findest du in system32. Dieser scheint erst
seit heute unterwegs zu sein. Installier Dir mal den Ethereal dann
siehst du die Beschehrung. Irgendwie verbreitet sich dieser über ein
Sicherheitsloch im Windows.
Für weitere Informationen wäre ich auch dankbar.
Gruß Andreas
"Kevin" <Kevi...@gmx.de> wrote in message news:<bh8kfl$gse$1...@nets3.rz.RWTH-Aachen.DE>...
Martin
MSBLAST.EXE ist wie richtig vermutet ein Virus!
Informationen hierzu erhaelst Du unter
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
Installiere das Patch von Microsoft (der Link ist auf der oben
genannten webseite). Dann folge den Anweisungen von Trend. Falls Du
'Internet Connection
Sharing' benutzt, ist es wahrscheinlich das andere Computer das auch
eingefangen haben und das Patch muss auch da installiert werden.
Falls Du Probleme hast den PC zu starten, starte ihn im 'Abgesicherten
Modus', msblast.exe wird dann nicht ausgefuehrt und Du kannst das
update von Diskette ausfuehren. 'Fuer 'Abgesicherten Modus', 'F8'
drucken waehrend der PC started bis das Menu angezeigt wird.
Kind Regards,
Martin
"Kevin" <Kevi...@gmx.de> wrote in message news:<bh8kfl$gse$1...@nets3.rz.RWTH-Aachen.DE>...
.
konnen jetzt (11 Aug) noch nichts tun.
Ich habe der SARC notifiert.
Rename den msblast.exe zu msblast.txt und offnen sie est in notepad.
Sehn sie "I LOvE YOU SEN!!! Billy Gates" fur sich selbst.
Es ist ein trojan virus.
"Kevin" <Kevi...@gmx.de> wrote in message news:<bh8kfl$gse$1...@nets3.rz.RWTH-Aachen.DE>...
Ich
1) Msblast ist ein Wurm und infiziert nun alle anderen.
2) Die Neustarts kannst Du unter Verwaltung/Dienste/RPC verhindern
(Verhalten bei Fehlern) - da kam wohl gerade ein neuer Msblast-
Angriff der sich wohl so aktiviert
Ich habe erst mal die "Internetverbindungsfirewall" abgestellt, so
entfallen (auch) die Neustarts.
Mist... Dann muss ich mir doch was einfallen lassen. Ungeschütztes
System ist halt ungeschützt :(
Mein Beileid!
"Kevin" <Kevi...@gmx.de> wrote in message news:<bh8kfl$gse$1...@nets3.rz.RWTH-Aachen.DE>...
Mupfman
Hi,
ich habe exakt (!) dasselbe Problem, genau wie 2 meiner Freunde. Es
fing gestern abend (11. August) an und wir haben bis jetzt noch keine
Lösung gefunden! Virenscanner erkennen die Datei "msblast.exe" nicht
als Virus, Trojaner o.ä. Möglicherweise ist es aber doch ein Virus,
der sich genau zu diesem Zeitpunkt aktiviert hat. Eine Notlösung, aber
kein dauerhafter Zustand, ist die Aktivierung der WindowsXP-Firewall.
Der AutoShutdown bleibt dann aus... Vielleicht wird auch irgendwie
versucht, von außerhalb Kontrolle über den Rechner zu erlangen. Ich
habe echt keine Ahnung! Ich denke, wir sind nicht die Einzigen, denen
das passiert...
Hoffe auf baldige Hilfe!
MfG
Mupfman
Edward Dortland
You've been hacked..
please go to this link
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
there is not much info yet on the msblast.exe but it got installed on
our computer tonight around the time when everything went really bad.
:-) So I assume it's some sort of trojan that got installed because we
didn't patch..
please understand that this trojan(if it's a trojan) is a seperate
problem. you should also apply the rpc patch as soon as possible
because right now your computer is completely open..
good luck
Edward Dortland
"Kevin" <Kevi...@gmx.de> wrote in message news:<bh8kfl$gse$1...@nets3.rz.RWTH-Aachen.DE>...
said_mp
hatte das gleiche problem !!
hier ist die beschreibung was man dagegen machen kann ,
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
gruss
Michael Parting
Immer schön alle neuen Sicherheitspatches einspielen, dann passiert
sowas nicht. Und am besten mit ner Firewall TCP Port 135 dichtmachen.
(Is zwar nicht der einzige sicherheitsrelevante Port, aber immerhin ein
Anfang.)
Ist natürlich dumm, wenn die Virenscanner die Datei nicht als Virus
erkennen.
Woher kommt die MSBlast.exe bzw. wie kommt die auf den Rechner?
Gruss Michael
Torsten Bronger
Marcus Frings <iam-est-ho...@despammed.com> writes:
> Muahahahahahahahahahahahahaha! Ist das geil, wie die Leute hier
> aufheulen und all die PCs infiziert sind. Leute, wann lernt Ihr endlich
> rechtzeitig Security Updates einzuspielen?
Ich weiss, dass es auch Security Patches fuer Linux-Distris gibt.
Sind da auch so fatale dabei, dass ein Nicht-Einspielen reelle
Chancen hat, mich bei der Arbeit zu behindern?
Tschoe,
Torsten.
--
Torsten Bronger, aquisgrana, europa vetus
Jens Hektor
> Ich weiss, dass es auch Security Patches fuer Linux-Distris gibt.
> Sind da auch so fatale dabei, dass ein Nicht-Einspielen reelle
> Chancen hat, mich bei der Arbeit zu behindern?
Ja.
Gunter Ohrner
> Woher kommt die MSBlast.exe bzw. wie kommt die auf den Rechner?
Von tftp-Servern mit tftp. Lies dir mal die häufiger in diesem Thread
angegebenen Quellen von Infos zu dem Wurm durch.
Grüße,
Gunter
--
By and large, the only skill the alchemists of Ankh-Morpork had
discovered so far was the ability to turn gold into less gold.
-- (Terry Pratchett, Moving Pictures)
Gunter Ohrner
> Ich weiss, dass es auch Security Patches fuer Linux-Distris gibt.
> Sind da auch so fatale dabei, dass ein Nicht-Einspielen reelle
> Chancen hat, mich bei der Arbeit zu behindern?
?
Kommt drauf an, ob es dich bei der Arbeit hindert, wenn den System gehackt
und ein root-Kit installiert wird. Alle die ich kenne, mich inkl., würden
dann aus Sicherheitsgründen das System komplett neuinstallieren und alle
Passwörter wechseln, um größeren Schaden zu verhindern. (Das würde ich auch
allen Windows-Benutzern hier empfehlen, die den seit mehr als 3 Wochen
erhältlichen Patch nicht installiert hatten, wer weiß, was über das
RPC-Loch sonst noch alles in's System gekommen ist und wer jetzt im Besitz
von Passwörtern ist bzw. was sonst noch auf den betroffenen Rechner
gespeichert wurde...) Und mich hält so etwas von der Arbeit ab, ja.
Da schaue ich lieber täglich kurz nach Sicherheitsupdates und Sperre bis auf
SSH den gesamten eingehenden Datenverkehr aus dem Internet, das ist im
Endeffekt dann erheblich weniger Arbeit...
Grüße,
Gunter
--
The Supreme Life President of Hell wrote: "What business are we in???"
He thought for a bit, and then carefully wrote, underneath: "We are in
the damnation business!!!" -- (Terry Pratchett, Eric)
Torsten Bronger
Gunter Ohrner
<spam_shredder_nicht_b...@CustomCDROM.de> writes:
> Torsten Bronger wrote:
>> Ich weiss, dass es auch Security Patches fuer Linux-Distris gibt.
>> Sind da auch so fatale dabei, dass ein Nicht-Einspielen reelle
>> Chancen hat, mich bei der Arbeit zu behindern?
>
> ?
Dann lass mich das praezisieren: Ich benutze SuSE 7.2, habe ausser
SpamAssassin und HylaFax bloss die Daemonen laufen, die eben von
Anfang an aktiv waren, insbesondere keinen telnet-, ftp oder
HTTP-Server installiert. Ich haenge am Modem, fuer Emails und Web.
> Kommt drauf an, ob es dich bei der Arbeit hindert, wenn den System
> gehackt und ein root-Kit installiert wird.
Okay, nehmen wir diesen Fall: Kann eine bekannte Sicherheitsluecke
etwas Boeses durch oben beschriebene Netz-Verbindung herein lassen
und das alles anstellen?
> [...]
>
> Da schaue ich lieber täglich kurz nach Sicherheitsupdates und
> Sperre bis auf SSH den gesamten eingehenden Datenverkehr aus dem
> Internet, das ist im Endeffekt dann erheblich weniger Arbeit...
Das ist wohl war, aber es muss fuer mich die Verhaeltnismaessigkeit
gegeben sein. Ich kann den Aufwand, staendig ueber
Sicherheitsluecken informiert zu sein und bei Bedarf zu beheben
nicht genau abschaetzen, aber ich weiss, dass es schon damals bei
meiner Wohnheim-Verbindung (als ich das mehr aus Neugier gemacht
habe) jedesmal nicht gerade schnell heruntergeladen war.
Ich habe bei etlichen Meldungen und Diskussionen rund um dieses
Thema den Eindruck gewonnen, dass ein Sicherheitseinbruch in einen
Linux-Rechner, der nur einen sehr duennen Draht zum Netz hat, in der
Haeufigkeit einem Headcrash nahekommt, und dann wuerde ich bei
Backups bleiben.
Yves Schmoker
"Aquagen2X" <Aqu...@gmx.de> schrieb im Newsbeitrag
und dann im Ordner
> Windows/System32 die msblast.exe löschen, die bei mir auch passend
> genau am 11.08.2003 erst erstellt wurde.
Habe die msblast.exe immer noch in meinem Ordner, kann sie aber nicht
löschen, der Zugriff wurde verweigert. von wegen schreibgeschützt oder wird
gerade verwendet. Wie kann ich die Datei löschen?
Thx
Yves
Theo Wilms
Torsten Boeckers schrieb:
> konnte, der tolle Countdown und maxblast.exe als verdächtiger Prozess.
> Hab im System32-Verzeichnis die Maxblast.exe sowie die Reg-Einträge
Nur so nebenbei: maxblast ist ein Programm von Maxtor um Festplatten
zu ueberpruefen/partitionieren/wasweissich...
> Seltsam, dass google zu msblast.exe nichts gefunden hat (ebenso
Eben, msblast.exe ist der boese, nich Maxtor ;)
Theo Wilms
--
Eisbären sind "Linkshänder".
(Handbuch des nutzlosen Wissens)
Marcus Frings
> Ich weiss, dass es auch Security Patches fuer Linux-Distris gibt.
> Sind da auch so fatale dabei, dass ein Nicht-Einspielen reelle
> Chancen hat, mich bei der Arbeit zu behindern?
Selbstverständlich. Wenn einer Deiner angebotenen Dienste für Remote
Root Exploits empfänglich ist und der Eindringling ein `rm -rf' macht,
würde ich das als eine sehr effektive Art, jemanden an der Arbeit zu
hindern, bezeichnen. ;-)
Gruß,
Marcus
--
"Fight fight fight, just push it away, fight fight fight, just push it
until it breaks, fight fight fight, don't cry at the pain, fight fight
fight, or watch yourself burn again, fight fight fight, don't howl like
a dog and never never never stop."
matthias
wenn du die msblast.exe isoliert oder gelöscht hast kuck noch nach
TFTP4044 im ordner windows/system32/, wenn du diese findest, auch weg
damit, das ist ebenfals der w32.blaster.worm !
damit das ständige runterfahren aufhört, geh auf "start" in die
"systemsteuerung" dort in "system" und hier auf "computername" !
da wird der worm wohl wie bei mir die 3 namen geändert haben 1.)
computerbeschreibung, 2.) computername 3.) arbeitsgruppe: "***NETZ"
oder so..! ändere diese wieder um, dann ist der spuck vorbei.
bei mir ist aufjeden fall so, läuft wieder wie ne eins.
tschau
ms
matthias
Wichard Johannsen
> Habe die msblast.exe immer noch in meinem Ordner, kann sie aber nicht
> löschen, der Zugriff wurde verweigert. von wegen schreibgeschützt oder wird
> gerade verwendet. Wie kann ich die Datei löschen?
Rechner im abgesicherten Modus starten.
WIchard
Kevin
Danke :-)
Kevin
"Kevin" <Kevi...@gmx.de> schrieb im Newsbeitrag
news:bh8kfl$gse$1...@nets3.rz.RWTH-Aachen.DE...
Gert Hautzel
> Problem gelöst, bitte keine Mails mehr!!!
> Danke :-)
> Kevin
Auch ne Art ddos :)
Gruß, Gert
Ralf Hambücker
gelöst. Der Virenscanner antivir hat die msblast.exe als Wurm entlarvt. Der
Virenscanner ist kostenlos und meiner Erfahrung nach ziemlich gut.
Gruß Ralf.
Björn Schreiber
> Gleiches Problem, jedoch wahrscheinlich durch Patch und neues Virus Pattern
> gelöst. Der Virenscanner antivir hat die msblast.exe als Wurm entlarvt. Der
> Virenscanner ist kostenlos und meiner Erfahrung nach ziemlich gut.
> Gruß Ralf.
>
[Fullquote gesnippt]
Also so ein Wurm der einen mal eben die eigene Nachlässigkeit vor Augen
führt ist noch lange kein Grund, news.rwth-aachen.de auch einem
DOS-Angriff in form von Hammer-Tofu angedeihen zu lassen, oder?
*BITTE* lies http://learn.to/quote
Gruß,
Björn
Gunter Ohrner
> Dann lass mich das praezisieren: Ich benutze SuSE 7.2, habe ausser
> SpamAssassin und HylaFax bloss die Daemonen laufen, die eben von
> Anfang an aktiv waren, insbesondere keinen telnet-, ftp oder
> HTTP-Server installiert. Ich haenge am Modem, fuer Emails und Web.
Ist nicht z.B. telnet bei SuSE 7.x sogar standardmäßig installiert?
Was sagt denn netstat -l -p im Abschnitt "Active Internet connections (only
servers)"? (Nicht unbedingt hier pasten. :-)
Je mehr Dämonen laufen, desto wahrscheinlicher ist wohl ein Einbruch. Wenn
kein einziger Dämon läuft, ist auch ein Einbruch extrem unwahrscheinlich,
aber bei einem Bug im Netzwerkstack des Kernels nicht unmöglich.
> Okay, nehmen wir diesen Fall: Kann eine bekannte Sicherheitsluecke
> etwas Boeses durch oben beschriebene Netz-Verbindung herein lassen
> und das alles anstellen?
Das hängt, wie gesagt, stark davon ab, welche Dämonen laufen. Aber, bei dem
was SuSE früher als Standardinstallation hatte, also inkl. Apache und so:
Ja, auf jeden Fall.
> Sicherheitsluecken informiert zu sein und bei Bedarf zu beheben
> nicht genau abschaetzen, aber ich weiss, dass es schon damals bei
Bei neueren SuSEs glaube ich: "you" <ENTER>, fertig. Gut so ist man nicht
komplett sicher, aber so peinliche Sachen wie W32.Blaster-Äquivalente
hereinzulassen passieren damit ziemlich sicher nicht mehr.
> meiner Wohnheim-Verbindung (als ich das mehr aus Neugier gemacht
> habe) jedesmal nicht gerade schnell heruntergeladen war.
Mh, ich hab' nur Debian zum Vergleich, aber wenn man da Debian Stable nutzt
und täglich sein "aptitude update && aptitude upgrade" macht, muss man nur
alle Jubeljahre einmal ein Sicherheitsupdate herunterladen.
Bei Debian Unstable ist das natürlich was anders, aber das macht mit 'ner
normalen DialUp-Verbindung vermutlich ohnehin keinen Spaß. ;)
> Linux-Rechner, der nur einen sehr duennen Draht zum Netz hat, in der
> Haeufigkeit einem Headcrash nahekommt, und dann wuerde ich bei
Ist gerade letztens einem Bekannten passiert, der das mit dem "you" <Enter>
wohl nicht ganz so ernst genommen hat. ;) Und der Rechner war nur per
normalem Analogmodem über eine Wählleitung angebunden, also nix mit DSL und
"always on" oder so...
Da war dann eine Neuinstallation fällig...
Grüße,
Gunter
--
One day I'll be dead and THEN you'll all be sorry.
-- (Terry Pratchett, alt.fan.pratchett)
Kevin
aber leider nahm das hier schon überhand! aus ganz deutschland kamen
anfragen! hätte ja nie gedacht, dass ich der erste bin, der das Wort
"msblast.exe" in ner NG schreibt und google dann meine email-adresse
ausspuckt! :-)
gruss
kevin
"Gert Hautzel" <no-spam-6...@h-systec.de> schrieb im Newsbeitrag
news:bhanrr$vpu98$1...@ID-128633.news.uni-berlin.de...
Udo Zallmann
Aqu...@gmx.de (Aquagen2X) wrote:
> (Schaut man in den Quelltext der exe, lacht sich dort auch
> jemand über Bill Gates und seine Sicherheitslücken kaputt).
Den Quelltext? Wo hast du den denn her?
udo
--
Signatur ist ausverkauft.
Eric Rother
Deshalb nur ganz kurz:
unter http://securityresponse.symantec.com/avcenter/FixBlast.exe gibt
es ein Programm zum Entfernen kostenlos.
Mehr Infos zum Wurm unter:
http://www.bsi.de/av/vb/blaster.htm &
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
Torsten Bronger
Gunter Ohrner
<spam_shredder_nicht_b...@CustomCDROM.de> writes:
> netstat -l -p im Abschnitt "Active Internet connections (only
> servers)"? (Nicht unbedingt hier pasten. :-)
Nichtmal telnet ist aktiv.
> Je mehr Dämonen laufen, desto wahrscheinlicher ist wohl ein Einbruch. Wenn
> kein einziger Dämon läuft, ist auch ein Einbruch extrem unwahrscheinlich,
> aber bei einem Bug im Netzwerkstack des Kernels nicht unmöglich.
Aber es haengt doch auch vom Daemon ab. Die nehmen doch nicht alle
Internet-Kram entgegen.
>> Okay, nehmen wir diesen Fall: Kann eine bekannte Sicherheitsluecke
>> etwas Boeses durch oben beschriebene Netz-Verbindung herein lassen
>> und das alles anstellen?
>
> Das hängt, wie gesagt, stark davon ab, welche Dämonen laufen.
> [...]
Ich meinte das ganz konkret: Gab es bei 7.2 eine bekannte
Sicherheitsluecke, die das nackte System haette beschaedigen
koennen?
> [...]
>
>> meiner Wohnheim-Verbindung (als ich das mehr aus Neugier gemacht
>> habe) jedesmal nicht gerade schnell heruntergeladen war.
>
> Mh, ich hab' nur Debian zum Vergleich, aber wenn man da Debian
> Stable nutzt und täglich sein "aptitude update && aptitude
> upgrade" macht, muss man nur alle Jubeljahre einmal ein
> Sicherheitsupdate herunterladen.
Tja, bei SuSE habe ich mit einigen Wochen Abstand sowas gemacht, und
er hat jedesmal bestimmt eine Minute gesaugt. Das werde ich mir mit
dem Modem nicht leisten wollen.
> [...]
>
>> Linux-Rechner, der nur einen sehr duennen Draht zum Netz hat, in
>> der Haeufigkeit einem Headcrash nahekommt, und dann wuerde ich
>> bei
>
> Ist gerade letztens einem Bekannten passiert, der das mit dem
> "you" <Enter> wohl nicht ganz so ernst genommen hat. ;)
Was ist passiert?
> Und der Rechner war nur per normalem Analogmodem über eine
> Wählleitung angebunden, also nix mit DSL und "always on" oder
> so...
>
> Da war dann eine Neuinstallation fällig...
Ja natuerlich, jeden Tag passiert ein Headcrash einigen in dieser
Stadt. Bei mir surrten die Festplatten acht Jahre ohne Probleme und
dann war ich dran. Backup (in meinem Fall sogar neuer Rechner und
Umstieg von MS-DOS auf Linux), fertig. Wenn aber ein
Sicherheitseinbruch bei Linux ebenfalls mit dieser Haeufigkeit
auftritt, dann werde ich dafuer sicherlich nicht noch
Extra-Massnahmen (naemlich Sicherheits-Updates) ergreifen.
Gunter Ohrner
>> netstat -l -p im Abschnitt "Active Internet connections (only
>> servers)"? (Nicht unbedingt hier pasten. :-)
> Nichtmal telnet ist aktiv.
Gut.
>> Je mehr Dämonen laufen, desto wahrscheinlicher ist wohl ein Einbruch.
>> Wenn kein einziger Dämon läuft, ist auch ein Einbruch extrem
>> unwahrscheinlich, aber bei einem Bug im Netzwerkstack des Kernels nicht
>> unmöglich.
> Aber es haengt doch auch vom Daemon ab. Die nehmen doch nicht alle
> Internet-Kram entgegen.
Nein, das st richtig, aber viele.
>> Das hängt, wie gesagt, stark davon ab, welche Dämonen laufen.
> Ich meinte das ganz konkret: Gab es bei 7.2 eine bekannte
> Sicherheitsluecke, die das nackte System haette beschaedigen
> koennen?
Das kann ich dir nicht sagen, ich kenne a) nicht die Versionen, die mit SuSE
7.2 kommen und b) nicht alle entsprechenden Sicherheitslücken.
Aber wenn auf deinem Rechner wirklich kein/kaum ein Daemon läuft, der in#s
Internet lauscht, kann zumindest schon mal nicht "so viel" passieren,
zumindest nicht so schnell. OpenSSH ist vor einiger Zeit einige Male ein
kandidat für Exploits gewesen, und der Kernel von SuSE 7.2 wird den
ptrace-Bug haben, d.h. wenn ein Angreifer irgendwie 'rein kommt, kann er
direkt root werden.
> Tja, bei SuSE habe ich mit einigen Wochen Abstand sowas gemacht, und
> er hat jedesmal bestimmt eine Minute gesaugt. Das werde ich mir mit
> dem Modem nicht leisten wollen.
Mh, eine Minute alle paar Tage? Ist das nicht sehr ok, man muss dem Rechner
ja nicht dabei zugucken?
>> Ist gerade letztens einem Bekannten passiert, der das mit dem
>> "you" <Enter> wohl nicht ganz so ernst genommen hat. ;)
> Was ist passiert?
Es "hat sich" ein Rootkit instralliert.
> Sicherheitseinbruch bei Linux ebenfalls mit dieser Haeufigkeit
> auftritt, dann werde ich dafuer sicherlich nicht noch
> Extra-Massnahmen (naemlich Sicherheits-Updates) ergreifen.
Dazu kann ich dann nicht mehr viel sagen, probier's halt aus, wenn du die
Risiken in Kauf nehmen willst...
Grüße,
Gunter
--
"I like the idea of democracy. You have to have someone everyone
distrusts," said Brutha. "That way, everyone's happy." -- (Terry
Pratchett, Small Gods)
Marcus Frings
> Ich meinte das ganz konkret: Gab es bei 7.2 eine bekannte
> Sicherheitsluecke, die das nackte System haette beschaedigen
Du meinst also eine frische SuSE Defaultinstallation?
> koennen?
Hier mal wirklich nur ein _kleiner_ Ausschnitt aus dem
Schreckenskabinett der SuSE 7.2 (ich war zu faul, alle rot markierten
Sicherheitsfixes aufzulisten):
,----[ http://www.suse.de/de/private/download/updates/72_i386.html ]
| aaa_base 2001.8.23
| Sicherheitsupdate: falls CLEAR_TMP_DIRS_AT_BOOTUP aktiviert war,
| konnten beliebige Verzeichnisse bei Reboot gelöscht werden.
|
| shadow 20000902
| Security Update: Die User-Daten vom Login-Programm konnten von
| PAM-Modulen überschrieben werden. Dadurch konnte ein sich neu
| einloggender Benutzer die Rechte eines anderen Benutzers bekommen.
|
| fetchmail 5.8.0
| Security Fix fuer moeglichen root-Zugriff ueber das Netz durch
| unsichere Handhabung von Mail-Headern.
|
| sendmail 8.11.3
| Sicherheitsupdate für das sendmail Paket, das einen Überlauf-Fehler im
| Adress-parsing code enthält.
`----
Zumindest diese dürften wohl per Default bei jedem "normalen" User
installiert sein.
Gruß,
Marcus
--
"Love for the death and for the defecation
Romance and assassination
Give me the love of genocide
Give me love"
Mark Trettin
* Gunter Ohrner <spam_shredder_nicht_b...@CustomCDROM.de> schrieb:
[...]
> OpenSSH ist vor einiger Zeit einige Male ein kandidat für Exploits
> gewesen, und der Kernel von SuSE 7.2 wird den ptrace-Bug haben,
> d.h. wenn ein Angreifer irgendwie 'rein kommt, kann er direkt root
> werden.
*Wenn* jemand über's Netz auf meinen Rechner kommt, hätte ich andere
Probleme als den ptrace-Bug. Der ist eher im Multiuser-Umfeld
interssant.
[...]
Bis dann
Mark
--
Mark Trettin ------- *Aachen* -- Wo ist das? ------> N: 50°46' O: 06°05'
BOFH excuse #249:
Unfortunately we have run out of bits/bytes/whatever.
Don't worry, the next supply will be coming next week.
Mark Trettin
* Torsten Bronger <bro...@physik.rwth-aachen.de> schrieb:
> Gunter Ohrner
> <spam_shredder_nicht_b...@CustomCDROM.de> writes:
>
>> netstat -l -p im Abschnitt "Active Internet connections (only
>> servers)"? (Nicht unbedingt hier pasten. :-)
netstat -pantu
> Nichtmal telnet ist aktiv.
Bei der default-Installation? -- Nein. Aber Du hast
höchstwahrscheinlich sendmail und fetchmail laufen? Die
sendmail-Version von der 7.2er hatte ein paar Löcher.
>> Je mehr Dämonen laufen, desto wahrscheinlicher ist wohl ein Einbruch. Wenn
>> kein einziger Dämon läuft, ist auch ein Einbruch extrem unwahrscheinlich,
>> aber bei einem Bug im Netzwerkstack des Kernels nicht unmöglich.
>
> Aber es haengt doch auch vom Daemon ab. Die nehmen doch nicht alle
> Internet-Kram entgegen.
Erstmal alle Daemonen, die Du nicht brauchst abschalten (hast Du wohl
schon getan?). Zum Starten der von sendmail den xinetd an Stelle des
inetd verwenden und diesem sagen, er soll nur von localhost etwas
entgegennehmen.
<URL:news:gmane.linux.suse.security.announce> abonnieren.
>>> Okay, nehmen wir diesen Fall: Kann eine bekannte Sicherheitsluecke
>>> etwas Boeses durch oben beschriebene Netz-Verbindung herein lassen
>>> und das alles anstellen?
>>
>> Das hängt, wie gesagt, stark davon ab, welche Dämonen laufen.
>> [...]
>
> Ich meinte das ganz konkret: Gab es bei 7.2 eine bekannte
> Sicherheitsluecke, die das nackte System haette beschaedigen
> koennen?
Ja.
[...]
>> Mh, ich hab' nur Debian zum Vergleich, aber wenn man da Debian
>> Stable nutzt und täglich sein "aptitude update && aptitude
>> upgrade" macht, muss man nur alle Jubeljahre einmal ein
>> Sicherheitsupdate herunterladen.
>
> Tja, bei SuSE habe ich mit einigen Wochen Abstand sowas gemacht, und
> er hat jedesmal bestimmt eine Minute gesaugt. Das werde ich mir mit
> dem Modem nicht leisten wollen.
Evtl. auf 8.2 updaten und dann patch-rpms nutzen. Damit kann man sogar
Bugs im Xfree patchen lassen. Wenn Du die 8.2er auf CD haben möchtest,
dann schreib mir eine PM.
Und zum Online-Update empfehle ich `fou4s'¹. Das ist deutlich angenehmer
als das dusselige YOU.
[...]
Bis dann
Mark
______________
¹ <URL:http://fou4s.gaugusch.at>
--
Mark Trettin ------- *Aachen* -- Wo ist das? ------> N: 50°46' O: 06°05'
BOFH excuse #278:
The Dilithium Cyrstals need to be rotated.
Juergen
>
> Das hängt, wie gesagt, stark davon ab, welche Dämonen laufen. Aber, bei dem
> was SuSE früher als Standardinstallation hatte, also inkl. Apache und so:
> Ja, auf jeden Fall.
Bei meinem Apache liefen in den vergangenen Tagen auch ein paar Anfragen
von Würmern (erfolglos) ein:
217.185.28.126 - - [16/Jul/2003:22:52:32 +0200] "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 277
217.185.28.105 - - [17/Jul/2003:17:26:59 +0200] "GET
/default.ida?XXXXXXXXX ... HTTP/1.0" 404 277
217.185.184.79 - - [18/Jul/2003:10:54:58 +0200] "GET
/default.ida?XXXXXXXX..... HTTP/1.0" 404 277
12.234.157.6 - - [18/Jul/2003:17:31:18 +0200] "GET
/scripts/root.exe?/c+dir HTTP/1.0" 404 282
12.234.157.6 - - [18/Jul/2003:17:31:19 +0200] "GET
/MSADC/root.exe?/c+dir HTTP/1.0" 404 280
12.234.157.6 - - [18/Jul/2003:17:31:24 +0200] "GET
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290
12.234.157.6 - - [18/Jul/2003:17:31:25 +0200] "GET
/d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290
12.234.157.6 - - [18/Jul/2003:17:31:26 +0200] "GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
12.234.157.6 - - [18/Jul/2003:17:31:30 +0200] "GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 321
12.234.157.6 - - [18/Jul/2003:17:31:35 +0200] "GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 321
12.234.157.6 - - [18/Jul/2003:17:31:39 +0200] "GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
HTTP/1.0" 404 337
12.234.157.6 - - [18/Jul/2003:17:31:40 +0200] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 303
Jürgen
Lexi Pimenidis
> Bei meinem Apache liefen in den vergangenen Tagen auch ein paar Anfragen
> von Würmern (erfolglos) ein:
Damit muss man leben... ich schwanke auch immer wieder zwischen "so'n Muell
nicht loggen" und "Sicherheitshalber mal mitloggen".
> 217.185.28.126 - - [16/Jul/2003:22:52:32 +0200] "GET
> /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
Schon krass, dass es immer noch solche Queries gibt. Waren das nicht IIRC
die Nimda-Wuermer oder Code-Red oder so? Auf jeden Fall ewig alt die
Dinger - und erschreckend dass es immer noch infizierte Rechner gibt.
Gruesse,
Lexi
--
t=/dev/tty;echo "Drei Chinesen mit nem Kontrabass"|tee $t|tr \
eiou a|tee $t|tr a e|tee $t|tr e i|tee $t|tr i o|tee $t|tr o u
Willi Pueschel
>>
>> Das hängt, wie gesagt, stark davon ab, welche Dämonen laufen. Aber, bei dem
>> was SuSE früher als Standardinstallation hatte, also inkl. Apache und so:
>> Ja, auf jeden Fall.
>
> Bei meinem Apache liefen in den vergangenen Tagen auch ein paar Anfragen
> von Würmern (erfolglos) ein:
Und? deswegen kippst Du gleich Deinen Log Müll hier rein? Die Anfragen sind
so "normal" wie sonst noch was, heutzutage...
[...Log gesnipt...]
Gruß,
Willi
--
Key-ID 0x394A84F8
Willi Pueschel
> On Tue, 12 Aug 2003 23:45:39 +0200, Juergen wrote:
>
>> Bei meinem Apache liefen in den vergangenen Tagen auch ein paar Anfragen
>> von Würmern (erfolglos) ein:
>
> Damit muss man leben... ich schwanke auch immer wieder zwischen "so'n Muell
> nicht loggen" und "Sicherheitshalber mal mitloggen".
Wozu? Ist doch wohl eine Apache httpd, oder?
Man kann, falls Du das access.log wirklich brauchst, es auch so
konfigurieren, daß es genau diese Teile eben nicht logt. Ich persönlich
finde das error.log jedoch ausreichend.
Gunter Ohrner
> *Wenn* jemand über's Netz auf meinen Rechner kommt, hätte ich andere
> Probleme als den ptrace-Bug. Der ist eher im Multiuser-Umfeld
> interssant.
Jain. Natürlich hast du ein Problem, wenn überhaupt jemand auf deinen
Rechner kommt. Aber wenn er einen Dämon "knackt", hat er erstmal nur die
Rechte des Benutzers, unter dem der Dämon läuft (= er kann eigentlich
direkt nix anstellen), kann sich aber sofort Root-Rechte verschaffen. Aber
die Kernaussage stimmt natürlich, wenn generell mal jemand in dem System
ist, ohne dass du's willst, hast du mehr Probleme als nur den Ptrace-Bug.
Grüße,
Gunter
--
The maze was so small that people got lost looking *for* it. --
Bloody Stupid Johnson at his finest (Terry Pratchett, Men At
Arms)
Rafael Czerwinski
Willi Pueschel wrote:
>>Muahahahahahahahahahahahahaha! Ist das geil, wie die Leute hier
>>aufheulen und all die PCs infiziert sind. Leute, wann lernt Ihr endlich
>>rechtzeitig Security Updates einzuspielen?
>
>
> Hehehe, sei doch nicht so hart, Marcus. Sie sind schon genug gestraft. ;-)
Selber schuld wenn sie eine Windowskiste direkt am Netz haben :-)
Ich habe meinen Spaß an diesem Thread...
Gruß,
Rafael
Wichard Johannsen
Für die, die es interessiert:
"W32.Blaster attackiert auch Nicht-Windows-Systeme"
http://www.heise.de/newsticker/data/dab-13.08.03-002/
Gruß,
Wichard
Mark Trettin
* Gunter Ohrner <spam_shredder_nicht_b...@CustomCDROM.de> schrieb:
> Mark Trettin wrote:
>> *Wenn* jemand über's Netz auf meinen Rechner kommt, hätte ich andere
>> Probleme als den ptrace-Bug. Der ist eher im Multiuser-Umfeld
>> interssant.
>
> Jain. Natürlich hast du ein Problem, wenn überhaupt jemand auf deinen
> Rechner kommt. Aber wenn er einen Dämon "knackt", hat er erstmal nur die
> Rechte des Benutzers, unter dem der Dämon läuft (= er kann eigentlich
> direkt nix anstellen), kann sich aber sofort Root-Rechte verschaffen.
Im Zusammenhang mit diesem Thread (ungepatchte SuSE 7.2) ist der
ptrace-Bug das kleinste Übel. :-) IIRC hatte die sendmail Version der
7.2 sogar eine "remote root exploit"-Möglichkeit und der sshd war wohl
auch "kaputt". (Gut, als dialup-User hat man selten einen sshd laufen.)
[...]
Bis dann
Mark
--
Mark Trettin ------- *Aachen* -- Wo ist das? ------> N: 50°46' O: 06°05'
BOFH excuse #21:
POSIX complience problem
Marcus Frings
> Im Zusammenhang mit diesem Thread (ungepatchte SuSE 7.2) ist der
> ptrace-Bug das kleinste Übel. :-) IIRC hatte die sendmail Version der
> 7.2 sogar eine "remote root exploit"-Möglichkeit und der sshd war wohl
> auch "kaputt".
ACK.
> (Gut, als dialup-User hat man selten einen sshd laufen.)
So selten ist das aber heutzutage dank dynamischen DNS nicht mehr.
Gruß,
Marcus
--
"Brennt auf den Nägeln eine Frage nur:
Sind die Vulkane noch tätig? Sind die Vulkane noch tätig?
Bitte enttäusch mich nicht! Ich glaub' wieder an Voodoo. Steck Nadeln ins
Telefonbuch. Sind die Vulkane noch tätig? Ich weiß, Du enttäuschst mich nicht."
Mark Trettin
* Marcus Frings <iam-est-ho...@fuckmicrosoft.com> schrieb:
> * Mark Trettin <mtr-...@gmx.de> wrote:
[...]
>> (Gut, als dialup-User hat man selten einen sshd laufen.)
>
> So selten ist das aber heutzutage dank dynamischen DNS nicht mehr.
Ich meinte mit dialup: Modem/ISDN-Einwahl. Die meisten Tarife die ich
kenne sind zeitbasiert, da möchte man eigentlich nicht permanent Online
sein.
Bis dann
Mark
--
Mark Trettin ------- *Aachen* -- Wo ist das? ------> N: 50°46' O: 06°05'
BOFH excuse #346:
Your/our computer(s) had suffered a memory leak, and we are waiting
for them to be topped up.