Neue Firewall rule... Firewall zuckt aus...

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7263

13.08.2003 - 00:37

Re... durch den MSBlaster Wurm hab ich bei mir ein paar ports geblockt und seitdem hab ich laut Firewall über 3600 "attacks"

gesperrt hab ich die Ports TCP: 4444, 135 UDP: 69

werden diese ports für irgendwas (wichtigeres benutzt) ansonsten kann ich mir die vielen "attacks" nicht erklären.... hab von 13 verschiedenen machines zugriffe und hab zehn minuten zugesehen wo sekündlich (!) "attacks" kamen... klärt mich mal wer auf bitte.... is ja nimmer normal...

FearEffect

Here to stay

Registered: May 2003
Location: Oberösterreich
Posts: 6027

13.08.2003 - 00:43

hmm ich hab innerhalb von 2 tagen über 1400 angriffe gekriegt 124 davon waren gefährlich (laut zone alarm pro)

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14362

13.08.2003 - 00:43

1. google hit:
3600
tcp/udp
trap-daemon
text relay-answer

danach wollt i nimma suchn

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7263

13.08.2003 - 00:44

yo, aber ich innerhalb 20-30 minuten !

Ex0duS

Banned

Registered: Mar 2001
Location: not near not far
Posts: 2982

13.08.2003 - 01:12

naja der Worm is hald aktiv

der versuchts hald auf diesen ports

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7263

13.08.2003 - 01:15

das is ned aktiv das is sick...

-kanonenfutter-

Here to stay

Registered: Jan 2003
Location: Wien/Österreich
Posts: 1075

13.08.2003 - 01:18

***

Bearbeitet von -kanonenfutter- am 24.12.2003, 16:12

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7263

13.08.2003 - 01:20

jo aber die anfragen kommen von aussen und ned von innen :rolleyes:

condor

out of my way

Registered: Mar 2003
Location: Hamburg
Posts: 1967

13.08.2003 - 01:25

tjo dat ist der wurm

udp port 69 (tftp) und tcp 135 rpc

moep

OC Addicted

Registered: Jun 2001
Location: here
Posts: 2149

13.08.2003 - 01:28

Zitat von TOM
jo aber die anfragen kommen von aussen und ned von innen

d'oh!

Der wurm verschickt sich selbst an alle IPs in seiner range. Soweit ich mitbekommen habe geht er einfach die letzten sechs ziffern der IP systematisch durch und verschickt sich dahin.

e.g. habe ich die IP 83.133.31.41 und bekäme somit von allen, deren IP mit 83.133. anfängt den wurm zugeschickt. -> soweit hab's ich mitbekommen.

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7263

13.08.2003 - 01:29

omfg... wenn das stimmt dann müssen so ärger viele befallen sein :eek:

condor

out of my way

Registered: Mar 2003
Location: Hamburg
Posts: 1967

13.08.2003 - 01:32

tjo...ich stell mir grad vor was los gewesen wäre wenn der wurm wirklichen schaden auf den befallenen pc anrichten würde :eek:

beispielsweise sämtliche daten sicher löschen ...

3 v. 4 home-usern sämtliche daten gelöscht :eek:

Xan

Legend
So say we all

Registered: Jul 2000
Location: Wien
Posts: 7676

13.08.2003 - 01:35

noch richtet er ja keinen schaden an.

mal schaun was am 16. abgeht

condor

out of my way

Registered: Mar 2003
Location: Hamburg
Posts: 1967

13.08.2003 - 01:37

vor allem was ms machen wird...

sicherheitshalber schonmal die windows-update server abschalten?

moep

OC Addicted

Registered: Jun 2001
Location: here
Posts: 2149

13.08.2003 - 01:37

Zitat von TOM
omfg... wenn das stimmt dann müssen so ärger viele befallen sein

bravo, jetzt kommst du auch drauf.

Scherz bei seite, Österreich ist/war eigentlich noch relativ gut weggekommen. In Amerika scheint es da ärger abgegangen zu sein.

@ condor: (unbestätigten) Gerüchten zu folge soll der Wurm auch eine zweite Payload haben: eine DoS attacke auf Microsoft server, angeblich am 18.8. (oder 16.8.?)- das würde jedenfalls den namen "MSBlaster" erklären. Schaumermal.

TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7263	13.08.2003 - 00:37 Re... durch den MSBlaster Wurm hab ich bei mir ein paar ports geblockt und seitdem hab ich laut Firewall über 3600 "attacks" gesperrt hab ich die Ports TCP: 4444, 135 UDP: 69 werden diese ports für irgendwas (wichtigeres benutzt) ansonsten kann ich mir die vielen "attacks" nicht erklären.... hab von 13 verschiedenen machines zugriffe und hab zehn minuten zugesehen wo sekündlich (!) "attacks" kamen... klärt mich mal wer auf bitte.... is ja nimmer normal...
FearEffect Here to stay Registered: May 2003 Location: Oberösterreich Posts: 6027	13.08.2003 - 00:43 hmm ich hab innerhalb von 2 tagen über 1400 angriffe gekriegt 124 davon waren gefährlich (laut zone alarm pro)
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14362	13.08.2003 - 00:43 1. google hit: 3600 tcp/udp trap-daemon text relay-answer danach wollt i nimma suchn
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7263	13.08.2003 - 00:44 yo, aber ich innerhalb 20-30 minuten !
Ex0duS Banned Registered: Mar 2001 Location: not near not far Posts: 2982	13.08.2003 - 01:12 naja der Worm is hald aktiv der versuchts hald auf diesen ports
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7263	13.08.2003 - 01:15 das is ned aktiv das is sick...
-kanonenfutter- Here to stay Registered: Jan 2003 Location: Wien/Österreich Posts: 1075	13.08.2003 - 01:18 *** Bearbeitet von -kanonenfutter- am 24.12.2003, 16:12
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7263	13.08.2003 - 01:20 jo aber die anfragen kommen von aussen und ned von innen
condor out of my way Registered: Mar 2003 Location: Hamburg Posts: 1967	13.08.2003 - 01:25 tjo dat ist der wurm udp port 69 (tftp) und tcp 135 rpc
moep OC Addicted Registered: Jun 2001 Location: here Posts: 2149	13.08.2003 - 01:28 Zitat von TOM jo aber die anfragen kommen von aussen und ned von innen d'oh! Der wurm verschickt sich selbst an alle IPs in seiner range. Soweit ich mitbekommen habe geht er einfach die letzten sechs ziffern der IP systematisch durch und verschickt sich dahin. e.g. habe ich die IP 83.133.31.41 und bekäme somit von allen, deren IP mit 83.133. anfängt den wurm zugeschickt. -> soweit hab's ich mitbekommen.
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7263	13.08.2003 - 01:29 omfg... wenn das stimmt dann müssen so ärger viele befallen sein
condor out of my way Registered: Mar 2003 Location: Hamburg Posts: 1967	13.08.2003 - 01:32 tjo...ich stell mir grad vor was los gewesen wäre wenn der wurm wirklichen schaden auf den befallenen pc anrichten würde beispielsweise sämtliche daten sicher löschen ... 3 v. 4 home-usern sämtliche daten gelöscht
Xan Legend So say we all Registered: Jul 2000 Location: Wien Posts: 7676	13.08.2003 - 01:35 noch richtet er ja keinen schaden an. mal schaun was am 16. abgeht
condor out of my way Registered: Mar 2003 Location: Hamburg Posts: 1967	13.08.2003 - 01:37 vor allem was ms machen wird... sicherheitshalber schonmal die windows-update server abschalten?
moep OC Addicted Registered: Jun 2001 Location: here Posts: 2149	13.08.2003 - 01:37 Zitat von TOM omfg... wenn das stimmt dann müssen so ärger viele befallen sein bravo, jetzt kommst du auch drauf. Scherz bei seite, Österreich ist/war eigentlich noch relativ gut weggekommen. In Amerika scheint es da ärger abgegangen zu sein. @ condor: (unbestätigten) Gerüchten zu folge soll der Wurm auch eine zweite Payload haben: eine DoS attacke auf Microsoft server, angeblich am 18.8. (oder 16.8.?)- das würde jedenfalls den namen "MSBlaster" erklären. Schaumermal.

Neue Firewall rule... Firewall zuckt aus...

Forum Index > Digital Life > Internet & Provider

TOM

FearEffect

semteX

TOM

Ex0duS

TOM

-kanonenfutter-

TOM

condor

moep

TOM

condor

Xan

condor

moep