nicht angemeldet
RPC (Remoteprozeduraufruf) von Hand stoppen!! (Blaster)
Hallo!
Habe Windows XP neu aufgesetzt,
und bin sofort an den BLASTER-Wurm gestossen.
Damit ich *etwas* Zeit habe,
um von Microsoft das Security-Update downzuladen,
muss ich ihn manuell vorher daran hindern dass
er mir das System immer herunterfaehrt.
WO kann ich manuell den RPC stoppen?
in 21 Sekunden faehrt er wieder down
DANKE
cu!
Aqua
-
morgens Aqua,
Habe Windows XP neu aufgesetzt,
und bin sofort an den BLASTER-Wurm gestossen.Nett. Dasselbe Problem hatte ich unlängst auch, der Thread ist mit Sicherheit im Archiv zu finden, ist noch keine drei Wochen alt.
WO kann ich manuell den RPC stoppen?
Sobald du die Meldung "the System is shutting down ..." erhältst, hast du noch etwa 50 Sekunden Zeit (je nach Rechnerleistung auch weniger). Das sollte genügen, um auf "Start -> Ausführen" zu gehen und dort "shutdown -a" einzutippen - kannst du auch im DOS-Fenster tun. Damit wird das Herunterfahren gestoppt und du hast nochmal ein wenig Zeit, den RPC abzuschalten bzw. die ports dichtzumachen. MSBLAST.exe hast du trotzdem in deinem System und bist also infiziert. Das einzige, was wirklich hilft, ist "format C:" und System nochmal neu aufspielen.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hallo Christoph!
Danke für die Antwort!
Das einzige, was wirklich hilft, ist "format C:" und System nochmal neu aufspielen.
Scherz, oder?
Der Patch den man von Microsoft.com downloaden kann
killt das Teil nicht?Danke
Aqua-
hi,
Scherz, oder? Der Patch den man von Microsoft.com downloaden kann killt das Teil nicht?
Nein, kein Scherz. Und wenn dir die ausführlichen Debatten, die du hier im Forumsarchiv finden kannst, nicht genügen, liest du mal in einem der "Foren" bei MSN nach - dort heißt das allerdings "Community". Zum Beispiel http://groups.msn.com/OnlineFreunde/allgemein.msnw?action=get_message&mview=0&ID_Message=11712&LastModified=4675442465721169508&all_topics=1
Im übrigen ist es nicht _ein_ patch, den du für ein neu installiertes WinXP downloaden darfst, sondern es sind ungefähr 25. Das dauert ... und während du herunterlädst, wird das Würmchen immer wieder aktiv und du kannst nix machen. *g*
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hi!
Im übrigen ist es nicht _ein_ patch, den du für ein neu installiertes WinXP downloaden darfst, sondern es sind ungefähr 25. Das dauert ... und während du herunterlädst, wird das Würmchen immer wieder aktiv und du kannst nix machen. *g*
Hm. Was ist denn mit http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html ?
Grüße
Andreas-
morgens Andreas,
Hm. Was ist denn mit http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html ?
Ja, guter Hinweis und unbedingt zu befolgen. Nur: das Teil wirft dir den Wurm _einmal_ raus, dann legt es sich schlafen. Es installiert dir keine patches. Inzwischen versuchst du bzw. Aqua fleißig weiter, die restlichen patches herunterzuladen, gehst online, und schwupps, hast du den Wurm gleich wieder neu ... "ein Teufelskreis".
Alle ports dichtmachen (bis auf 80) hilft ein wenig. Und Firewall ...
;-)
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hi!
Hm. Was ist denn mit http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html ?
Ja, guter Hinweis und unbedingt zu befolgen. Nur: das Teil wirft dir den Wurm _einmal_ raus, dann legt es sich schlafen. Es installiert dir keine patches. Inzwischen versuchst du bzw. Aqua fleißig weiter, die restlichen patches herunterzuladen, gehst online, und schwupps, hast du den Wurm gleich wieder neu ... "ein Teufelskreis".
Alle ports dichtmachen (bis auf 80) hilft ein wenig. Und Firewall ...
Reicht da eigentlich die XP-Firewall? Leider finde ich den verdammten Link nicht mehr wieder, jedenfalls wurde hier schon öfter eine Anleitung zum Schließen der Ports gepostet, also nicht per Firewall sondern durch herunterfahren der entsprechenden Dienste. Aber leider finde ich die nicht mehr. Weiß vielleicht jemand was ich meine? War für Win2000 und XP.
Grüße
Andreas-
hallo Andreas,
Reicht da eigentlich die XP-Firewall?
So weit ich weiß, reicht die nicht. Das ist sowieso nur eine "Personal Firewall", und wenn ich mich richtig erinnere, hatte Sven Rautenberg in einem ähnlichen Thread mal ein "Grundsatzposting" dazu verfaßt.
jedenfalls wurde hier schon öfter eine Anleitung zum Schließen der Ports gepostet, also nicht per Firewall sondern durch herunterfahren der entsprechenden Dienste. Aber leider finde ich die nicht mehr. Weiß vielleicht jemand was ich meine? War für Win2000 und XP.
Na gut, wollen wir nochmal: ich halte das Abschalten von einzelnen Diensten nicht für ausreichend. Zuverlässiger funktioniert das Zulassen/Verbieten über die Eigenschaften der entsprechenden DFÜ-Verbindung. Dort klickst du die Eigenschaften von "Internetprotokoll" an, dann "Erweitert", dann "Optionen" und dort "TCP/IP-Filterung". Nochmal "Eigenschften", und da hast du es dann.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hallo!
So weit ich weiß, reicht die nicht. Das ist sowieso nur eine "Personal Firewall", und wenn ich mich richtig erinnere, hatte Sven Rautenberg in einem ähnlichen Thread mal ein "Grundsatzposting" dazu verfaßt.
ja das wurde hier mehrfach ausgiebigst diskutiert und ich stimme vollkommen mit denen überein die eine Sofrtware-Firewall für Quatsch halten. Die Frage ist nur, ob man mit Hilfe der eingebauten Fireall in die Lage versetzt wird, sein System witrklich sicher zu konfigurieren, indem sie wenigstens für diese Zeit die Angriffe der bekannten Würmer blockt. Und ich glaube das ist in den meisten Fällen kein Problem. Nur sollte das eben nicht das langfristige Sicherheiskonzept sein.
jedenfalls wurde hier schon öfter eine Anleitung zum Schließen der Ports gepostet, also nicht per Firewall sondern durch herunterfahren der entsprechenden Dienste. Aber leider finde ich die nicht mehr. Weiß vielleicht jemand was ich meine? War für Win2000 und XP.
Na gut, wollen wir nochmal: ich halte das Abschalten von einzelnen Diensten nicht für ausreichend.
Wieso? Wenn kein Port mehr lauscht kannst Du auch keinen Dienst mehr angreifen, oder?
Zuverlässiger funktioniert das Zulassen/Verbieten über die Eigenschaften der entsprechenden DFÜ-Verbindung. Dort klickst du die Eigenschaften von "Internetprotokoll" an, dann "Erweitert", dann "Optionen" und dort "TCP/IP-Filterung". Nochmal "Eigenschften", und da hast du es dann.
Oh, das kannte ich noch gar nicht! Interessant. Trotzdem würde ich lieber die Dienste deaktivieren, ich habe das bei mir gemacht und keinerlei Probleme, auch ohne Firweall und sonstigen Schnickschnack.
Filtern ist nicht die Behebung der Ursache, der eigentlichen "Bedrohung", sondern nur der Versuch die "Bedrohung" abzuschotten.Nur ist mir die Anleitung hierfür verloren gegangen.
Grüße
Andreas-
Hallo!
Tag!
Trotzdem würde ich lieber die Dienste deaktivieren
In microsoft.public.de.security.heimanwender (Message ID pe60qvge5qbh3824cm685sc037v05t4vus@4ax.com) schrieb Thomas Blum unter anderem:
...
Tips zur PC-Sicherheit (Standalone-System) findet man hier:
http://www.kssysteme.de/
http://www.uksecurityfocus.com/husdg/
...Dort steht, was man so alles auf Einzelplatzrechnern abschalten kann.
bye
ich-
Hallo!
Vielen Dank, genau das wars.
Das ist eine kinderleichte Anleitung mit Screenshots und allem drum und dran. Wenn man als nicht unbedingt Laufwerke oder andere Dinge für andere Rechner im eigenen Netz freischalten muss, dann sollte man das unbgedingt machen. Damit werden alle nach außen und damit potentiell gefährlichen Dienste abgeschaltet, bzw. von der Netzwerkkarte entbunden. Somit bietet der Rechner Würmern wie Blaster einfach keine Angriffsfläche mehr. Es gibt ja immer noch Lecks im RPC-Dienst die noch nicht behoben wurden, es ist nur eine Frage der Zeit bis das wieder ein neuer Wurm ausnutzt. Wenn man aber alles abgeschaltet hat kann da nichts mehr von außen angreifen, und man braucht nichtmal ne Firewall bzw. einen Paketfilter, die systembedingt sowieso keinen 100%igen Schutz bieten können.
Grüße
Andreas
-
-
-
hallo
Na gut, wollen wir nochmal: ich halte das Abschalten von einzelnen Diensten nicht für ausreichend. Zuverlässiger funktioniert das Zulassen/Verbieten über die Eigenschaften der entsprechenden DFÜ-Verbindung. Dort klickst du die Eigenschaften von "Internetprotokoll" an, dann "Erweitert", dann "Optionen" und dort "TCP/IP-Filterung". Nochmal "Eigenschften", und da hast du es dann.
warum nicht beides kombinieren?
dienste, die nicht gebraucht werden, abschalten und für die, die das geld für eine hardware-firewall nicht haben, zumindest einen grossen anteil der angriffe mit einer software-firewall blocken.was willst du beispielsweise machen, wenn eine sicherheitslücke im svchost entdeckt wird? abschalten sollte da nicht so einfach möglich sein, oder?
freundl. grüsse, raik
-
Hallo!
was willst du beispielsweise machen, wenn eine sicherheitslücke im svchost entdeckt wird? abschalten sollte da nicht so einfach möglich sein, oder?
Ich kenne mich mit Windows nicht so aus, was genau macht svhost eigentlich? Wieso sollte es denn einen Port nach außen abhören? Das deaktivieren der Dienste ist das eine, das andere das entbinden der Dienste von der Netzwerkkartem bzw. der DFÜ-Verbindung, so dass man von außen keine ZUgriffsmöglichkeit hat. Und genau das wird unter dem genannten Link beschrieben. Um einen Dienst auf einem Rechner angreifen zu können, muss man erstmal vom TCP/IP Stack an den entsprechenden Dienst weitergeleitet werden. Hier ist bei Windows standardmäßig eingestellt dass anfragen an bestimmte Ports an die problematischen Dienste weitergeleitet werden. Wenn man jetzt aber diese Dienste von der Netzwerk-Verbindung entbindet, dann wird der Verbindungs-Aufbau Versuch eines Angreifers einfach abgewiesen, der TCP/IP Stack kennt dann einfach keine Anwendung die für diesen Port zuständig ist, und antortet so wie es in den Spezifikationen vorgesehen ist wenn eben kein Dienst zur Verfügung steht. Die Angriffe können allerdings nur Schaden im fehlehaften Dienst anrichten, was somit ausgeschlossen wird. Wenn man eine Firewall verwendet, dann erhält der Angreifer meist die Information - es gibt einen Dienst, der aber geblockt wird. Und wer sagt Dir dass die Firewall 100%ig funktioniert und selbst keine Fehler enthält?
Grüße
Andreas-
hi!
»» was willst du beispielsweise machen, wenn eine sicherheitslücke im svchost entdeckt wird? abschalten sollte da nicht so einfach möglich sein, oder?
Ich kenne mich mit Windows nicht so aus, was genau macht svhost eigentlich?wenn der blaster den svchost irrtümlich für eine xp-version gehalten hat und dieser deshalb alle nase lang abstürzt, geht fast nichts mehr unter win2k. svchost ist für das laden etlicher anderer dienste zuständig.
... Das deaktivieren der Dienste ist das eine, das andere das entbinden der Dienste von der Netzwerkkartem bzw. der DFÜ-Verbindung, so dass man von außen keine ZUgriffsmöglichkeit hat. ...
so gesehen stimmt das. wozu gibt es dann allerdings überhaupt firewalls? auch die firmware von hardware-firewalls kann ja sicherheitslöcher enthalten, oder?
freundl. grüsse, raik
-
-
-
-
-
Hi Christoph!
Alle ports dichtmachen (bis auf 80) hilft ein wenig. Und Firewall ...
Wieso den nicht?
Grüße
Andreas-
hi,
Alle ports dichtmachen (bis auf 80) hilft ein wenig. Und Firewall ...
auch den. zumindest für eingehende anfragen, sofern du keinen webserver auf dem rechner betreibst, der von aussen erreichbar sein soll.
aber generell ist es blödsinn, "ports dicht zu machen".
es sollte stattdessen dafür gesorgt werden, dass keine dienste mehr laufen, die schaden anrichten können, wenn sie von aussen angesprochen werden.gruss,
wahsaga
-
-
-
-
-
-
-
Hallo Leute!
Danke für eure Hilfe,
ich habe formatiert und alles neu aufgesetzt,
das erste was ich tat war die Page
http://windowsupdate.microsoft.com zu besuchen,
und die 20,1 MB update herunterzuladen.Da stand aber bei keinem dabei dass es gegen der Blaster-Wurm hilft.
Ist das nun schon dabei oder soll ich den Patch gegen
Blaster extra downloaden?Danke!
Aqua-
hallo Aqua,
das erste was ich tat war die Page
http://windowsupdate.microsoft.com zu besuchen,
und die 20,1 MB update herunterzuladen.
Da stand aber bei keinem dabei dass es gegen der Blaster-Wurm hilft.Das nicht, aber mindestens ein patch ist für das Loch bzw. die Löcher im RPC zuständig. Bei jedem patch, der dir angeboten wird, steht eine kurze Beschreibung dabei, nach der kannst du dich richten.
Ist das nun schon dabei oder soll ich den Patch gegen
Blaster extra downloaden?Schlimmstenfalls wird dir bei einem Installationsversuch gesagt, daß du den patch schon hast, mehr kann dir nicht passieren. Das Symantec-Tool, das Andreeas verlinkt hat, solltest du trotzdem zur Prüfung mal durchlaufen lassen.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
-
Sup!
Ist ja lustig, dieser Wurm... haben den also immer noch so viele Leute... und das, obwohl der Wurm viele der infizierten Rechner netterweise gleich herunterfährt?
Also, Windows installieren demnächst nur noch hinter einer (BDS/Linux) Firewall ;-)
Gruesse,
Bio
--
Elite ist mein zweiter Vorname