Vorsicht bei Firewallregeln - einschränkende Regel VERURSACHTE Infektion
- From: Rudolf Polzer <usenet@xxxxxxxxxxxxxxxx>
- Date: Mon, 3 Oct 2005 18:56:07 +0000 (UTC)
Ich war vor kurzem bei jemandem, dem genau das passiert ist.
Eine anonymisierte Darstellung:
Gegeben:
- IP-Range 271.17.23.0/24 (aus der Luft gegriffen und nicht gültig, aber
evtl. hilft es, da vier Zahlen zu sehen, um sich das vorzustellen)
- Defaultgateway ist die .1, also known by DNS as "cisco".
- Drei XP-Rechner: .42, .11 und .91
- Die Rechner .42 und .11 hatten ausschließlich eine interne Aufgabe und
kamen daher, durch eine Regel auf "cisco" gesteuert, nur an interne
IP-Bereiche.
- .91 hatte vollen Zugriff aufs Netz.
- Interner Sophos-Updateserver, alle Rechner hatten aktuelle Signaturen.
- Windowsupdate auf allen Rechnern auf automatisch, kein Updateserver.
- Abiryy-Fileserver, aber der tut nicht zur Sache.
Gefunden:
- Sophos meinte, auf .42 und .11 Viren zu finden, die die Leute aber
immer "gecleaned" haben und daher kein Problem sahen. Naja, bis einer
"nicht wegging". Kann aber gar nicht sein, dass da Viren draufkommen,
denn die "sind ja nicht im Internet".
Getan:
- Im Sophos-Log geschaut. Mehrere Rbot-Varianten.
- HKLM/Software/Microsoft/Windoof/CurrentVersion/Run etc. durchsucht.
google.exe, dhcpd.exe, ssl.exe und anderes Zeugs, das da nicht
reingehört. Hatte die der Reihe nach mit "edit /70" geöffnet (warum
eigentlich 70? Alte Gewohnheit... warum ist auch nicht strings
vorinstalliert), bei einigen hatte Sophos genau das verhindert, bei
google.exe jedoch nicht. Die Datei fing mit MZ-Header an und es waren
nur API-Referenzen auf GetProcAddress und LoadLibrary zu finden, mehr
nicht... also ein Executable-Packer. Legitime Software verwendet aber
(leider) selten welche, so dass klar war, dass das Malware ist.
- google.exe auf Diskette kopiert, an Rechner .91 auf virustotal und
jotti hochgeladen. Nur etwa die Hälfte der Scanner hielten die für
infiziert - Kaspersky schon, Sophos nicht. Name des Wurms vergessen.
- dhcpd.exe war ein gecrackter und modifizierter ServU. Im selben
Verzeichnis lagen INI-Dateien davon mit falschen Namen und Endungen
sowie ein Logfile. Laut INI war ganz C:\ freigegeben, laut Logfile
kein Verbindungsversuch (und der Port war auch zu laut netstat und
telnet). Dateien mit auffälligen Endungen (.rar, .nfo) oder Größen
(5000k, 15000k, 50000k) waren allerdings auch keine zu finden.
- Der ServU kam sehr gelegen, damit konnte man den Leuten einen guten
Grund nennen, die Kisten neu aufzusetzen - denn wer will schon ein
Warez-Depot im eigenen Netz. Das kam nur deshalb nicht drauf, weil der
Rechner nicht ans Internet kam.
- .91 war allen Anschein nach sauber. Hatte aber auch seine Updates und
seit SP2 den eingebauten Paketfilter an.
Auflösung:
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
..
- offene Netzwerkbuchsen, "ach da war mal der Kollege mit dem Notebook
surfen - und ich auch mal, hatte mal was gebracht... und der auch
noch..."
Und die Moral von der Geschicht: Windowsupdate blockiert man nicht!
(Zumindest nicht, wenn man nicht haargenau weiß, was man tut - dann
hätte man z.B. mit mehreren physikalischen oder virtuellen Netzen (wie
heißen die bei Cisco nochmal, Inter-Switch-VLANs oder wie?) die
Infektion vermeiden können).
--
Elfen Lied ist gewaltverherrlichend. Vor allem, was da so alles brutalst
niedergemetzelt, grausamst in Stücke gerissen und bei lebendigem Leibe
zerschnitten, zersägt, zerhackt wird... es wäre nicht übertrieben, zu
sagen: "Boldly splitting German composites that no man had split before"
.
- Follow-Ups:
- Re: Vorsicht bei Firewallregeln - einschränkende Regel VERURSACHTE Infektion
- From: Thorsten Dahm
- Re: Vorsicht bei Firewallregeln - einschränkende Regel VERURSACHTE Infektion
- Prev by Date: Re: IPSec <> L2TP/IPSEC
- Next by Date: Re: Vorsicht bei Firewallregeln - einschränkende Regel VERURSACHTE Infektion
- Previous by thread: Re: Abstimmung
- Next by thread: Re: Vorsicht bei Firewallregeln - einschränkende Regel VERURSACHTE Infektion
- Index(es):
Relevant Pages
|
