---

Jeg har just i min firewall lukket for portene listet i
http://www.comon.dk/index.php?page=news:show,id=14803, og jeg kan nu i
min packetlog se, at der godt nok er megen trafik på netop disse porte.
Jeg kan dog også se at jeg modtager en hel del forespørgsler fra en
bestemt maskine på mit netværk. Grunden til at jeg studser over netop
denne maskine er, at den fungerer som DHCP-server, den ene af vores DNS-
servers samt primary WINS-server på vores Windows-domæne.

Derfor: skal jeg antage at denne server er inficeret (jeg ved med
sikkerhed at den ikke var patchet i forgårs) eller er der et legitimt
formål med at kontakt min maskine på disse porte? Det er allesammen
port137 UDP og jeg har fået i omegnen af 400 pakker i de sidste 5
minutter.

--
Jesper Stocholm - http://stocholm.dk

Hvorfor ser fanatiske fodboldfans altid sådan ud ?
http://ekstrabladet.dk/VisArtikel.iasp?PageID=208295

---

Jesper Stocholm <jespers@stocholm.invalid> wrote:
> Jeg har just i min firewall lukket for portene listet i
> http://www.comon.dk/index.php?page=news:show,id=14803,

Hvorfor gaar du ikke direkte til kilden for den slags information?
Sandsynligheden for at en journalist faar teknisk information forkert er
meget hoej. Hvis du absolut *skal* benytte populaermedie som din
informationskilde, saa vaelg for guds skyld en kilde der ikke vaelger at
interviewe et af de meste inkompetente "sikkerhedsfirmaer" i Danmark.

De fleste tekniske artikler jeg har set beskriver hvordan du paa et par
sekunder kan se om du er inficeret eller ej. Hvis du valgte dine kilder
med omhu havde du ikke behoevet skrive et indlaeg her og efterfoelgende
sidde og vente paa dette svar.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote :

> Jesper Stocholm <jespers@stocholm.invalid> wrote:
>> Jeg har just i min firewall lukket for portene listet i
>> http://www.comon.dk/index.php?page=news:show,id=14803,
>
> Hvorfor gaar du ikke direkte til kilden for den slags information?

Jeg er klar over at det var at stikke hånden i en vepserede at referere til
comon, men jeg kan berolige dig om at jeg _har_ undersøgt det så meget jeg
kunne gennemskue - artiklen var blot den eneste jeg kunne finde hvor
portene var beskrevet umiddelbart.

> De fleste tekniske artikler jeg har set beskriver hvordan du paa et
> par sekunder kan se om du er inficeret eller ej. Hvis du valgte dine
> kilder med omhu havde du ikke behoevet skrive et indlaeg her og
> efterfoelgende sidde og vente paa dette svar.

Jaja - som du kan se i mit indlæg spørger jeg ikke om disse porte er nok -
ej heller om "jeg har gjort det rigtige". Jeg spørger heller ikke om min PC
er inficeret. Jeg spørger om vores DHCP-server har et legitimt formål med
at kontakte min maskine på disse porte - og i det enorme omfang det er
tilfældet.

Fra MSs beskrivelse af RPC står der (bla).

(RPC) is a protocol used by the Windows operating system. RPC provides an
inter-process communication mechanism that allows a program running on one
computer to seamlessly execute code on a remote system.

Kald mig bare en novice men jeg kan ikke ud af (bla.) dette se om jeg skal
være opmærksom på det.

Jeg kan se at jeg har en del forespørgsler _fra_ min computer til

min DNS/WINS-server på port 137 UDP
255.255.255.255 på port 137 UDB (måske til listen med andre computere)
min sekundære maskine på port 137 UDP (jeg har mappet et drev på den)

Jeg vil godt understrege igen at min system _ikke_ er inficeret af denne
orm.

Jeg kan godt lave en intuitiv kobling imellem RPC og at jeg fx har mappet
et drev på en anden maskine - men jeg er ikke sikker på om det er korrekt -
derfor mit spørgsmål.

Forstå mig ret - jeg har stor respekt for din viden om comptersikkerhed og
din indsats her i gruppen, men jeg synes dit svar lugter af at du stejler
over min reference til comon - i stedet for at du læste hvad jeg spurgte
om.

Det er meget muligt at mit spørgsmål er OT her i gruppen - det kunne være
det skulle være dk.edb.system.ms-windows.server eller dk.edb.netvaerk i
stedet. Hvis det er tilfældet, så sig venligst til.

--
Jesper Stocholm - www.stocholm.dk - www.asp-faq.dk
** De andre siger, at han er 16 **
Svar venligst til gruppen og ikke til mig privat !
Skriv under det du svarer på - www.usenet.dk/netikette/citatteknik.html

---

Jesper Stocholm <jespers@stocholm.invalid> wrote:
> Jaja - som du kan se i mit indlæg spørger jeg ikke om disse porte er nok -
> ej heller om "jeg har gjort det rigtige". Jeg spørger heller ikke om min PC
> er inficeret. Jeg spørger om vores DHCP-server har et legitimt formål med
> at kontakte min maskine på disse porte - og i det enorme omfang det er
> tilfældet.

Vi ved at netop denne orm benytter port 135/tcp, ikke 137/udp.

I min comon-flame, errr, i mit svar antog jeg at du havde administrator
adgang til DHCP serveren og derfor, med adgang til den rette kilde, let
kunne laese dig frem til at ormen dropper et payload i
\windows\system32\msblast.exe og checke om den fil fandtes.

> Fra MSs beskrivelse af RPC står der (bla).
>
> (RPC) is a protocol used by the Windows operating system. RPC provides an
> inter-process communication mechanism that allows a program running on one
> computer to seamlessly execute code on a remote system.

Man fristes naesten til at sige, at RPC virker som designet :)


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Jesper Stocholm" <jespers@stocholm.invalid> skrev i en
meddelelse news:Xns93D66C8A0906Fstocholmdk@130.226.1.34...

Hej Jesper,

> Derfor: skal jeg antage at denne server er inficeret (jeg
ved med
> sikkerhed at den ikke var patchet i forgårs) eller er der
et legitimt
> formål med at kontakt min maskine på disse porte? Det er
allesammen
> port137 UDP og jeg har fået i omegnen af 400 pakker i de
sidste 5
> minutter.

Den trafik du kan se til UDP port 137 er normal og skyldes
Netbios name service.

I forbindelse med forespørgsel til RPC sker dette kun til
TCP port 135 (blaster anvender ikke andre porte til at
exploite RPC DCOM selvom det er sandsynligt, at fremtidige
orme vil gøre det). At Blaster, så alligevel bruger andre
porte skyldes, at den anvender en remote shell TCP 4444 og
TFTP til at plante koden på en sårbar host. Du kan med
sikkerhed overgøre om din server er inficeret ved at søge
efter msblast.exe som droppes til windows system mappen
(system32). Jeg tror ikke du vil finde den inficeret på det
du beskriver.

Der er frigivet flere gode gratis værktøjer, hvor du kan
scanne dit interne net for sårbare enheder - bl.a.
http://www.eeye.com/html/Research/Tools/RPCDCOM.html

Venligst
Peter Kruse

---

Peter Kruse <kruse@_nospam_railroad.dk> wrote:
> Der er frigivet flere gode gratis værktøjer, hvor du kan
> scanne dit interne net for sårbare enheder - bl.a.
> http://www.eeye.com/html/Research/Tools/RPCDCOM.html

Blah, MSBA er vejen frem. Vulnerability scannere forstyrrer for meget og
har for hoej fejl-rate.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst <a@mongers.org> writes:

> Blah, MSBA er vejen frem. Vulnerability scannere forstyrrer for
> meget og har for hoej fejl-rate.

Mener du MBSA? Google kunne ikke lige finde noget meningsfyldt på MSBA.

--
Med venlig hilsen
- Jacob Atzen

---

Jacob Atzen <jacob@aub.dk> wrote:
> Alex Holst <a@mongers.org> writes:
>
>> Blah, MSBA er vejen frem. Vulnerability scannere forstyrrer for
>> meget og har for hoej fejl-rate.
>
> Mener du MBSA? Google kunne ikke lige finde noget meningsfyldt på MSBA.

Ja. (Google fandt da ellers noget om en stripper bar).

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst <a@mongers.org> wrote:

>en stripper bar

Er det ikke dobbeltkonfekt? En stripper formodes vel at vaere
bar.

(Hvis man i den forbindelse har lyst til at RTFM, er fiduso.dk
sikkert et fint sted at starte.)


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Den Wed, 13 Aug 2003 18:35:05 +0200 skrev Allan Olesen:
>Alex Holst <a@mongers.org> wrote:
>
>>en stripper bar
>
>Er det ikke dobbeltkonfekt? En stripper formodes vel at vaere
>bar.

Så er du kommet for sent til showet.

Ordet stripper, kommer af strip, der betyder at fjerne noget (i denne
sammenhæng tøjet, ikke debugging-symboler), og det er netop hvad en
stripper gør: Tager tøjet af. Når (oftest:) hun er færdig med det, er
showet ved at være forbi.

Mvh
Kent
--
If I wanted a blue screen, I would type "xsetroot -solid blue"
- not c:\I386\WINNT.EXE

---

Kent Friis skrev:

>Ordet stripper, kommer af strip, der betyder at fjerne noget (i denne
>sammenhæng tøjet, ikke debugging-symboler), og det er netop hvad en
>stripper gør: Tager tøjet af. Når (oftest:) hun er færdig med det, er
>showet ved at være forbi.

Sådan var det i gamle dage da der var noget ved strip. I dag kan
de ikke få tøjet af hurtigt nok hvis de da overhovedet har noget
på.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Den Wed, 13 Aug 2003 20:10:12 +0200 skrev Bertel Lund Hansen:
>Kent Friis skrev:
>
>>Ordet stripper, kommer af strip, der betyder at fjerne noget (i denne
>>sammenhæng tøjet, ikke debugging-symboler), og det er netop hvad en
>>stripper gør: Tager tøjet af. Når (oftest:) hun er færdig med det, er
>>showet ved at være forbi.
>
>Sådan var det i gamle dage da der var noget ved strip. I dag kan
>de ikke få tøjet af hurtigt nok hvis de da overhovedet har noget
>på.

Ekspert-udtalelse?

Men selvfølgelig, hvis udgangspunktet skal være som vi er vandt til at
se dem ved stranden i denne tid, kan det ikke tage mange sekunder...

Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy

---

leeloo@phreaker.net (Kent Friis) wrote:

>>>en stripper bar

[...]

>Så er du kommet for sent til showet.

Jeg skulle nok i stedet have spurgt:
Hvad bar stripperen?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen skrev:

>>>>en stripper bar

>[...]

>>Så er du kommet for sent til showet.

>Jeg skulle nok i stedet have spurgt:
>Hvad bar stripperen?

Barbarstripperen bar bare sin bare.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

On Wed, 13 Aug 2003 23:50:06 +0200, Bertel Lund Hansen
<nospamfor@lundhansen.dk> wrote:

> Barbarstripperen bar bare sin bare.

.... på Rabarberbarbarbar.

-A
--
http://www.hojmark.org/

---

Hej Jacob

On 13 Aug 2003 14:02:20 +0200, Jacob Atzen <jacob@aub.dk> wrote:

>Alex Holst <a@mongers.org> writes:
>
>> Blah, MSBA er vejen frem. Vulnerability scannere forstyrrer for
>> meget og har for hoej fejl-rate.
>
>Mener du MBSA? Google kunne ikke lige finde noget meningsfyldt på MSBA.
>
>--
>Med venlig hilsen
>- Jacob Atzen

Det må man da ikke håbe.. fra beskrivelsen på :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/mbsahome.asp
kan man læse :

[cut]
The following are the requirements for a computer to be scanned
remotely by the tool:
[cut]
The following services must be installed/enabled: Server service,
Remote Registry service, File & Print Sharing
[cut]

Men måske er det formuleret forkert på siden ?

mvh

Kristian

---

krask123SpamMeSenseless321@isupport.dk (Kristian Rask) writes:

[snippe]
> Det må man da ikke håbe..

Hvorfor ikke?

[snippe]
> [cut]
> The following are the requirements for a computer to be scanned
> remotely by the tool:
> [cut]
> The following services must be installed/enabled: Server service,
> Remote Registry service, File & Print Sharing
> [cut]

Er der da nogen kendte og åbne sikkerhedshuller i dem? Og såfremt
dette er tilfældet kan man vel bare køre scanneren lokalt?

--
Med venlig hilsen
- Jacob Atzen

---

Hej Jacob !

"Jacob Atzen" <jacob@aub.dk> wrote in message
news:87smo5wwhs.fsf@morpheus.aub.dk...
> > [cut]
> > The following services must be installed/enabled: Server service,
> > Remote Registry service, File & Print Sharing
> > [cut]
> Er der da nogen kendte og åbne sikkerhedshuller i dem? Og såfremt
> dette er tilfældet kan man vel bare køre scanneren lokalt?

Du må aldrig køre med fil & printsharing, hvis du ikke har en god firewall.
Det åbner port 137 på vid gab !!!


--
Med venlig hilsen

René Løweneck
www.lowesite.dk
LøweSite CMS - Styr din hjemmeside og få en spamfri webmail, - tilmed til en
fast fornuftig pris !

---

"René Løweneck" <rene@loweneck.dk> wrote:
> "Jacob Atzen" <jacob@aub.dk> wrote in message
> news:87smo5wwhs.fsf@morpheus.aub.dk...
>> Er der da nogen kendte og åbne sikkerhedshuller i dem? Og såfremt
>> dette er tilfældet kan man vel bare køre scanneren lokalt?
>
> Du må aldrig køre med fil & printsharing, hvis du ikke har en god firewall.
> Det åbner port 137 på vid gab !!!

Uha da, saa er vi paa den. Min arbejdsgiver har 5000 klienter med netop
den konfiguration.

HJAAELP!!1 Hvad kan vi goere for at forbedre vores sikkerhed?


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:

> HJAAELP!!1 Hvad kan vi goere for at forbedre vores sikkerhed?

Ansætte en ekspert, der spiser lys chokolade.

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen <usenet@kimludvigsen.dk> enriched usenet with:

> Ansætte en ekspert, der spiser lys chokolade.

Rigtige eksperter spiser mørk chokolade. Lys chokolade er som bekendt en
fattig og sjælløs kopi af rigtig chokolade.

Udtrykte jeg mig for utydeligt i
<news:Xns93CE9E3FF1A70larskyndidk@aa635.kyndi.dk> ?


--
Lars Kyndi Laursen, representatum nixi
Quidquid latine dictum sit altum viditur

Now playing: Wheatus - Teenage Dirtbag

---

Lars Kyndi Laursen wrote:
>
> Kim Ludvigsen <usenet@kimludvigsen.dk> enriched usenet with:
>
> > Ansætte en ekspert, der spiser lys chokolade.
>
> Rigtige eksperter spiser mørk chokolade. Lys chokolade er som bekendt en
> fattig og sjælløs kopi af rigtig chokolade.

Næh, den bitre smag i mørk chokolade fører til en tilstand af mørk
bitterhed og sortsyn. Lys chokolade, derimod, virker dejligt beroligende
og fører til en afslappet tilstand af ophøjet ro.

> Udtrykte jeg mig for utydeligt i
> <news:Xns93CE9E3FF1A70larskyndidk@aa635.kyndi.dk> ?

Næh, men jeg turde ikke at korrigere dig den dag, du virkede lidt
bitter.

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen <usenet@kimludvigsen.dk> enriched usenet with:

>> Rigtige eksperter spiser mørk chokolade. Lys chokolade er som bekendt en
>> fattig og sjælløs kopi af rigtig chokolade.
>
> Næh, den bitre smag i mørk chokolade fører til en tilstand af mørk
> bitterhed og sortsyn. Lys chokolade, derimod, virker dejligt beroligende
> og fører til en afslappet tilstand af ophøjet ro.

Du lyder, som bitterhed og sortsyn er en dårlig ting, når man taler om edb-
sikkerhed.

>> Udtrykte jeg mig for utydeligt i
>> <news:Xns93CE9E3FF1A70larskyndidk@aa635.kyndi.dk> ?
>
> Næh, men jeg turde ikke at korrigere dig den dag, du virkede lidt
> bitter.

Det irriterer mig grænseløst, når folk taler mod bedre vidende

--
Lars Kyndi Laursen, representatum nixi
Quidquid latine dictum sit altum viditur

Now playing: The Knack - My Sharona

---

Kim Ludvigsen wrote in <news:3F3A96AE.1150@kimludvigsen.dk>:

>> Rigtige eksperter spiser mørk chokolade. Lys chokolade er som
>> bekendt en fattig og sjælløs kopi af rigtig chokolade.
>
> Næh, den bitre smag i mørk chokolade fører til en tilstand af mørk
> bitterhed og sortsyn. Lys chokolade, derimod, virker dejligt
> beroligende og fører til en afslappet tilstand af ophøjet ro.

Hvilken af de to sindstilstande synes du forekommer mest fordelagtig
hos en mand der skal stå for din sikkerhed..?

Jeg skal sgu ikke have nogen hippie-laissez-faire-holier-than-thou-
treehugger til at kofigurere min firewall.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det! http://www.spamcon.org/legalfund/

---

Niels Callesøe wrote:
>
> Kim Ludvigsen wrote in <news:3F3A96AE.1150@kimludvigsen.dk>:
>
> > Næh, den bitre smag i mørk chokolade fører til en tilstand af mørk
> > bitterhed og sortsyn. Lys chokolade, derimod, virker dejligt
> > beroligende og fører til en afslappet tilstand af ophøjet ro.
>
> Hvilken af de to sindstilstande synes du forekommer mest fordelagtig
> hos en mand der skal stå for din sikkerhed..?

Jeg vil foretrække en afslappet sikkerhedsansvarlig, der i sin ophøjede
ro har fuldstændig styr på sikkerheden, frem for den bitre
sikkerhedsansvarlige, der kun sidder og tænker på livets
uretfærdigheder, og som i sit sortsyn har opgivet at lukke alle huller i
systemet, fordi de forbistrede scriptkids alligevel kommer ind.

--
Mvh. Kim Ludvigsen

---

Kim Ludvigsen wrote in <news:3F3B49C9.7B65@kimludvigsen.dk>:

>> > Næh, den bitre smag i mørk chokolade fører til en tilstand af
>> > mørk bitterhed og sortsyn. Lys chokolade, derimod, virker
>> > dejligt beroligende og fører til en afslappet tilstand af
>> > ophøjet ro.
>>
>> Hvilken af de to sindstilstande synes du forekommer mest
>> fordelagtig hos en mand der skal stå for din sikkerhed..?
>
> Jeg vil foretrække en afslappet sikkerhedsansvarlig, der i sin
> ophøjede ro har fuldstændig styr på sikkerheden, frem for den
> bitre sikkerhedsansvarlige, der kun sidder og tænker på livets
> uretfærdigheder, og som i sit sortsyn har opgivet at lukke alle
> huller i systemet, fordi de forbistrede scriptkids alligevel
> kommer ind.

Nu ligger du jo noget vældig værdiladning ind i det med den ophøjede
ro.. normalt synes jeg erfaring viser at de eneste der udviser den
slags adfærd er dem der alligevel allerede har givet op og/eller skal
til tennis med chefen i aften.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det! http://www.spamcon.org/legalfund/

---

Alex Holst <a@mongers.org> writes:

> "René Løweneck" <rene@loweneck.dk> wrote:
>> "Jacob Atzen" <jacob@aub.dk> wrote in message
>> news:87smo5wwhs.fsf@morpheus.aub.dk...
>>> Er der da nogen kendte og åbne sikkerhedshuller i dem? Og såfremt
>>> dette er tilfældet kan man vel bare køre scanneren lokalt?
>>
>> Du må aldrig køre med fil & printsharing, hvis du ikke har en god firewall.
>> Det åbner port 137 på vid gab !!!
>
> Uha da, saa er vi paa den. Min arbejdsgiver har 5000 klienter med netop
> den konfiguration.
>
> HJAAELP!!1 Hvad kan vi goere for at forbedre vores sikkerhed?

I må straks hyre en der ved noget om sikkerhed! Jeg har hørt om en
dygtig fyr der hedder Alex på dk.edb.sikkerhed

Hilsen
Kåre

--
Kaare Fiedler Christiansen fiedler@daimi.au.dk

2b|~2b == -1

---

Kim Ludvigsen <usenet@kimludvigsen.dk> writes:

> Lars Kyndi Laursen wrote:
>>
>> Kim Ludvigsen <usenet@kimludvigsen.dk> enriched usenet with:
>>
>> > Ansætte en ekspert, der spiser lys chokolade.
>>
>> Rigtige eksperter spiser mørk chokolade. Lys chokolade er som bekendt en
>> fattig og sjælløs kopi af rigtig chokolade.
>
> Næh, den bitre smag i mørk chokolade fører til en tilstand af mørk
> bitterhed og sortsyn. Lys chokolade, derimod, virker dejligt beroligende
> og fører til en afslappet tilstand af ophøjet ro.

Ha! Vi må vist snart få ændret fundatsen til at tillade
chokoladediskussioner som on topic

Bortset fra det er det som at sige at man bliver bitter af rigtig sex
mens en hurtig spiller giver ophøjet ro. Næh, lad mig bede om den ægte
vare, altså mørk chokolade

>> Udtrykte jeg mig for utydeligt i
>> <news:Xns93CE9E3FF1A70larskyndidk@aa635.kyndi.dk> ?
>
> Næh, men jeg turde ikke at korrigere dig den dag, du virkede lidt
> bitter.

Det kan være nogen hvade stukket ham en plade lys chokolade

Hilsen
Kåre

--
Kaare Fiedler Christiansen fiedler@daimi.au.dk

2b|~2b == -1

---

Kaare Fiedler Christiansen <fiedler@daimi.au.dk> enriched usenet with:

> Ha! Vi må vist snart få ændret fundatsen til at tillade
> chokoladediskussioner som on topic

Chokolade er en intergreret del af ebd-sikkerhed

> Bortset fra det er det som at sige at man bliver bitter af rigtig sex
> mens en hurtig spiller giver ophøjet ro. Næh, lad mig bede om den ægte
> vare, altså mørk chokolade

En fremragende analogi

> Det kan være nogen hvade stukket ham en plade lys chokolade

Noget i den stil

--
Lars Kyndi Laursen, representatum nixi
Quidquid latine dictum sit altum viditur

Now playing: Led Zeppelin - Stairway To Heaven

---

Lars Kyndi Laursen <spam_me_senseless@mail.dk> writes:

> > Bortset fra det er det som at sige at man bliver bitter af rigtig sex
> > mens en hurtig spiller giver ophøjet ro. Næh, lad mig bede om den ægte
> > vare, altså mørk chokolade
>
> En fremragende analogi

Det er vist første gang man har hørt nogen ytre det herinde

--
Med venlig hilsen
- Jacob Atzen, der så absolut foretrækker chokolade med over 50% kakao i.

---

On 13 Aug 2003 23:42:31 +0200, Jacob Atzen <jacob@aub.dk> wrote:

>> En fremragende analogi

> Det er vist første gang man har hørt nogen ytre det herinde

"Anal og i"?

-A
--
http://www.hojmark.org/

---

On Wed, 13 Aug 2003 22:11:27 +0200, Kaare Fiedler Christiansen
<fiedler@daimi.au.dk> wrote:

> Bortset fra det er det som at sige at man bliver bitter af rigtig sex
> mens en hurtig spiller giver ophøjet ro.

Og det kommer fra en, der[1] hedder Fiddler?

> Næh, lad mig bede om den ægte vare, altså mørk chokolade

Jeg må indrømme, jeg foretrækker sex.

-A
[1] Næsten.
--
http://www.hojmark.org/

---

Kaare Fiedler Christiansen wrote:
>
> Ha! Vi må vist snart få ændret fundatsen til at tillade
> chokoladediskussioner som on topic

Vi burde få oprettet: dk.edb.sikkerhed.chokolade

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:

> On Wed, 13 Aug 2003 22:11:27 +0200, Kaare Fiedler Christiansen
> <fiedler@daimi.au.dk> wrote:

>> Næh, lad mig bede om den ægte vare, altså mørk chokolade
>
> Jeg må indrømme, jeg foretrækker sex.

Ja, okay, jeg mente også mere i forhold til lys chokolade.

Hilsen
Kåre
--
Kaare Fiedler Christiansen fiedler@daimi.au.dk

2b|~2b == -1

---

Peter Kruse skrev:

> Der er frigivet flere gode gratis værktøjer, hvor du kan
> scanne dit interne net for sårbare enheder - bl.a.
> http://www.eeye.com/html/Research/Tools/RPCDCOM.html

Hmm, den webserver mangler vist strøm (eller noget andet mellem min
maskine og Eeyes webserver).

Eeyes værktøj er ikke et af de gode værktøjer, det giver forskellige
svar når man scanner de samme ip-adresser en gang mere [1]. Jeg har
ikke oplevet samme fejl med MS eget kommandoliniebaserede værktøj:

<URL:
http://www.microsoft.com/downloads/details.aspx?familyid=c8f04c6c-b71b-4992-91f1-aaa785e709da >

Men ok, værktøjet fra MS har ikke en pænt brugergrænseflade med farve-
lade på skærmen.

[1] Indrømmet, jeg har ikke tjekket om der er kommet en fejlrettet ud-
gave af værktøjet, da MS eget værktøj passer rigtigt fint til mit be-
hov (automatisk scanning af netværket).

---

"Jesper Stocholm" <jespers@stocholm.invalid> wrote in message
news:Xns93D66C8A0906Fstocholmdk@130.226.1.34...
>
> Derfor: skal jeg antage at denne server er inficeret (jeg ved med
> sikkerhed at den ikke var patchet i forgårs) eller er der et legitimt
> formål med at kontakt min maskine på disse porte? Det er allesammen
> port137 UDP og jeg har fået i omegnen af 400 pakker i de sidste 5
> minutter.
>

MSBlaster benytter specielt port TCP/135 (indgående på din pc),
TCP/1000-1999 (udgående på din pc) og TCP 4444 (indgående på din pc)

De har pillet ormen fra hinanden her og har bl.a. fundet et par bugs i
ormen..

http://www.dslreports.com/forum/remark,7652257~root=security,1~mode=flat

"After sending the payload and waiting for a short interval, the worm
assumes that a command shell is listening on the remote port 4444 and
attempts to connect. If successful, it starts a TFTP server thread on
the local (attacking) machine and sends a command that instructs the
remote machine to download a copy of the "msblast.exe" worm executable
via TFTP. Once the executable has been transferred, or after 20 seconds
have elapsed, the TFTP server is shut down and the worm then issues
further commands to the victim to execute msblast.exe. Assuming the
executable was downloaded successfully, the propagation cycle then
begins again from the newly infected host, while the infecting instance
of the worm continues iterating through IP addresses."

-- Soren

---

Soren wrote:
>
> De har pillet ormen fra hinanden her og har bl.a. fundet et par bugs i
> ormen..
>
> http://www.dslreports.com/forum/remark,7652257~root=security,1~mode=flat

Jeg kunne kun finde ordet bug et sted på siden. Den pågældende fejl kan
i øvrigt udnyttes til at skelne mellem legitime TCP pakker og DoS
angrebet med god sandsynlighed. Man kan filtrere alle DoS pakkerne og
kun have 0.000763% falske positiver.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

Kasper Dupont wrote in <news:3F3B1F51.CAFBFC0F@daimi.au.dk>:

>> De har pillet ormen fra hinanden her og har bl.a. fundet et par
>> bugs i ormen..
>>
>> http://www.dslreports.com/forum/remark,7652257~root=security,1~mod
>> e=flat
>
> Jeg kunne kun finde ordet bug et sted på siden. Den pågældende
> fejl kan i øvrigt udnyttes til at skelne mellem legitime TCP
> pakker og DoS angrebet med god sandsynlighed. Man kan filtrere
> alle DoS pakkerne og kun have 0.000763% falske positiver.

Det tror jeg umiddelbart godt vi kan regne med har fået et par
ingeniører hos MS til at vifte med de små flag og åbne en porter.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det! http://www.spamcon.org/legalfund/

---

"Niels Callesøe" <pfy@nntp.dk> wrote in message
news:Xns93D768183E902k5j6h4jk3@62.243.74.163...

> > Jeg kunne kun finde ordet bug et sted på siden. Den pågældende
> > fejl kan i øvrigt udnyttes til at skelne mellem legitime TCP
> > pakker og DoS angrebet med god sandsynlighed. Man kan filtrere
> > alle DoS pakkerne og kun have 0.000763% falske positiver.
>
> Det tror jeg umiddelbart godt vi kan regne med har fået et par
> ingeniører hos MS til at vifte med de små flag og åbne en porter.

Det lader til at Microsoft har fjernet A posterne fra windowsupdate.com
zonen, så ormen ikke kan få fat i en IP-adresse.

Hvis man vælger Windows Update fra startmenuen eller fra IE, så går man ind
på en underside under microsoft.com, så det har ikke noget betydning at
windowsupdate.com ikke resolver i den forbindelse.

Det lader til at DDoS angrebet er afblæst.

/Morten

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3F3B1F51.CAFBFC0F@daimi.au.dk...
> Soren wrote:
> >
> Jeg kunne kun finde ordet bug et sted på siden. Den pågældende fejl
kan
> i øvrigt udnyttes til at skelne mellem legitime TCP pakker og DoS
> angrebet med god sandsynlighed. Man kan filtrere alle DoS pakkerne og
> kun have 0.000763% falske positiver.
>

Nå ja.. En bug fra eller til.. Når man er vant til Windows taler man
ikke om antal i den forstand, kun om hvor tit man skal genstarte..

Hvor stor båndbredde skal man regne med hvis 1 million maskiner hver
sender 60 bytes hvert 10. sekund og man også forventer at få lidt
legitimt trafik igennem, forudsat selvfølgelig at DoS trafikken kan
filtreres fra så den ikke optager ressourcer på serveren ?? ~45 Mbit
?? Med mindre man kan filtrere pakkerne fra direkte på ISP'ens edge
router..

-- Soren

---

"Jesper Stocholm" <jespers@stocholm.invalid> wrote in message
news:Xns93D66C8A0906Fstocholmdk@130.226.1.34...
> Jeg har just i min firewall lukket for portene listet i
> http://www.comon.dk/index.php?page=news:show,id=14803,

I Artiklen anbefaler de at lukke port 593 - det er vel kun relevant hvis man
har lavet om i standard konfigurationen ?

Jeg har (for lang) tid sat filter på min router på de berørte porte - dog
ikke 593 (har ingen maskiner der lytter aktivt på den port).

--
Flemming
http://home.cbkn.dk/Spyware/
http://home.cbkn.dk/Spam/

---

F.Larsen skrev:

> I Artiklen anbefaler de at lukke port 593 - det er vel kun relevant
> hvis man har lavet om i standard konfigurationen ?

Jep: <URL: http://xforce.iss.net/xforce/alerts/id/147 >

"If the "Tunneling TCP/IP" protocol is explicitly enabled within the
DCOM Configuration Utility, the affected component may be reachable via
the HTTP RPC Endpoint Mapper port (TCP/593). This protocol is disabled
by default in all configurations. DCOM may be accessible over port
TCP/80 via COM Internet Services in similarly rare circumstances. DCOM
is also accessible via non-IP protocols (IPX/SPX), and non-routable
protocols (NETBEUI)."

Tjek om konfigurationen er korrekt med dcomcnfg.

---

"F.Larsen" <n0spam@spamfilter.dk> wrote:

>I Artiklen anbefaler de at lukke port 593 - det er vel kun relevant hvis man
>har lavet om i standard konfigurationen ?

Hvis man ikke har brug for, at en port er aaben, hvorfor saa
holde den aaben?

Ja, du kan godt laese det som om jeg foretraekker whitelisting
frem for blacklisting i den slags sammenhaenge.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.