Wie auf einigen News-Seiten zu lesen ist, wurde der Verkehr im Internet heute massiv gestört. Hier einige Quellen:
http://www.heise.de/newsticker/data/wst-25.01.03-001/
http://www.cnn.com/2003/TECH/internet/01/25/internet.attack.ap/index.html

Ursache ist ein Fehler im Microsoft SQL-Server. Damit gelingt es dem Wurm die Server zu kompromitieren und einen enormen Traffic über Port 1423 zu erzeugen.

cat /etc/services | grep 1434
ms-sql-m 1434/tcp # Microsoft-SQL-Monitor
ms-sql-m 1434/udp # Microsoft-SQL-Monitor


Mich würde interessieren was in eueren logfiles steht (ich bin hinter einem Nat-Gateway) wie viele Anfragen erscheinen dort?

Update #1:
http://www.heise.de/newsticker/data/pab-25.01.03-000/

Update #2:
Traffic-Messungen: http://www.internetpulse.net/

Update #3:
Schaden-Schätzung: http://www.heise.de/newsticker/data/pab-27.01.03-000/

Gruss, Andy

Original geschrieben von RapidMax
Wie auf einigen News-Seiten zu lesen ist, wurde der Verkehr im Internet heute massiv gestört. Hier einige Quellen:
http://www.heise.de/newsticker/data/wst-25.01.03-001/
http://www.cnn.com/2003/TECH/internet/01/25/internet.attack.ap/index.html

Ursache ist ein Fehler im Microsoft SQL-Server. Damit gelingt es dem Wurm die Server zu kompromitieren und einen enormen Traffic über Port 1423 zu erzeugen.

cat /etc/services | grep 1434
ms-sql-m 1434/tcp # Microsoft-SQL-Monitor
ms-sql-m 1434/udp # Microsoft-SQL-Monitor


Mich würde interessieren was in eueren logfiles steht (ich bin hinter einem Nat-Gateway) wie viele Anfragen erscheinen dort?

Gruss, Andy

hallo!

bei mir gab es heute nur das übliche.
meine pf-logfile der letzen 2stunden:

Jan 25 12:55:01 firewall pf: Jan 25 12:46:24.783673 rule 19/0(match): pass in on ne4: 217.81.248.45 > 81.16.104.6: icmp: 192.168.1.100 udp port 4665 unreachable
Jan 25 13:25:01 firewall pf: Jan 25 13:14:08.117190 rule 19/0(match): pass in on ne4: 80.136.147.238 > 81.16.104.6: icmp: echo request
Jan 25 13:40:02 firewall pf: Jan 25 13:29:22.646365 rule 19/0(match): pass in on ne4: 80.137.16.80 > 81.16.104.6: icmp: host 192.168.0.1 unreachable
Jan 25 13:40:02 firewall pf: Jan 25 13:30:07.253869 rule 19/0(match): pass in on ne4: 80.137.16.80 > 81.16.104.6: icmp: host 192.168.0.1 unreachable
Jan 25 13:40:02 firewall pf: Jan 25 13:30:13.284438 rule 19/0(match): pass in on ne4: 80.137.16.80 > 81.16.104.6: icmp: host 192.168.0.1 unreachable
Jan 25 13:40:02 firewall pf: Jan 25 13:30:50.931443 rule 19/0(match): pass in on ne4: 80.137.16.80 > 81.16.104.6: icmp: host 192.168.0.1 unreachable
Jan 25 13:40:02 firewall pf: Jan 25 13:30:57.506157 rule 19/0(match): pass in on ne4: 80.137.16.80 > 81.16.104.6: icmp: host 192.168.0.1 unreachable
Jan 25 13:50:01 firewall pf: Jan 25 13:40:45.050167 rule 19/0(match): pass in on ne4: 212.227.110.65 > 81.16.104.6: icmp: echo request (DF)
Jan 25 13:50:01 firewall pf: Jan 25 13:40:58.295966 rule 19/0(match): pass in on ne4: 212.227.110.65 > 81.16.104.6: icmp: echo request (DF)


//richard

Sieht mir doch relativ viel aus, leider kenne ich mich damit nicht aus und würde gerne wissen, ob ich mir irgendwie Gedanken machen sollte. Sitze ebenfalls hinter einem Nat Router und dieses ist das Logfile von dem Teil.

In der Zeit wo ich diesen Beitrag schrieb, waren diverse IPs mit 30 Einträgen auf Port 4662




Sam 25 Jan 2003 14:52:56 CET Unrecognized access from 80.11.21.154:4148 to TCP port 4662
Sam 25 Jan 2003 14:52:57 CET Unrecognized access from 80.139.190.254:3484 to TCP port 4662
Sam 25 Jan 2003 14:53:03 CET Unrecognized access from 80.139.190.254:3484 to TCP port 4662
Sam 25 Jan 2003 14:53:12 CET Unrecognized access from 80.132.54.148:1299 to TCP port 4662
Sam 25 Jan 2003 14:53:15 CET Unrecognized access from 80.132.54.148:1299 to TCP port 4662
Sam 25 Jan 2003 14:53:21 CET Unrecognized access from 80.132.54.148:1299 to TCP port 4662
Sam 25 Jan 2003 14:53:47 CET Unrecognized access from 80.11.21.154:4412 to TCP port 4662
Sam 25 Jan 2003 14:53:50 CET Unrecognized access from 80.11.21.154:4412 to TCP port 4662
Sam 25 Jan 2003 14:53:56 CET Unrecognized access from 80.11.21.154:4412 to TCP port 4662
Sam 25 Jan 2003 14:53:58 CET Unrecognized access from 80.139.190.254:3712 to TCP port 4662
Sam 25 Jan 2003 14:54:00 CET Unrecognized access from 80.139.190.254:3712 to TCP port 4662
Sam 25 Jan 2003 14:54:06 CET Unrecognized access from 80.139.190.254:3712 to TCP port 4662
Sam 25 Jan 2003 14:54:19 CET Unrecognized access from 217.227.95.94:61299 to TCP port 4662
Sam 25 Jan 2003 14:54:22 CET Unrecognized access from 217.227.95.94:61299 to TCP port 4662
Sam 25 Jan 2003 14:54:28 CET Unrecognized access from 217.227.95.94:61299 to TCP port 4662
Sam 25 Jan 2003 14:54:31 CET Unrecognized access from 80.137.213.109:4083 to TCP port 4662
Sam 25 Jan 2003 14:54:34 CET Unrecognized access from 80.137.213.109:4083 to TCP port 4662
Sam 25 Jan 2003 14:54:40 CET Unrecognized access from 80.137.213.109:4083 to TCP port 4662
Sam 25 Jan 2003 14:54:46 CET Unrecognized access from 80.136.119.233:4357 to TCP port 2854
Sam 25 Jan 2003 14:54:49 CET Unrecognized access from 80.136.119.233:4357 to TCP port 2854
Sam 25 Jan 2003 14:54:55 CET Unrecognized access from 80.136.119.233:4357 to TCP port 2854
Sam 25 Jan 2003 14:54:59 CET Unrecognized access from 217.227.95.94:61467 to TCP port 4662
Sam 25 Jan 2003 14:55:02 CET Unrecognized access from 217.227.95.94:61467 to TCP port 4662
Sam 25 Jan 2003 14:55:02 CET Unrecognized access from 80.38.87.243:3865 to TCP port 4662
Sam 25 Jan 2003 14:55:05 CET Unrecognized access from 80.38.87.243:3865 to TCP port 4662
Sam 25 Jan 2003 14:55:08 CET Unrecognized access from 217.227.95.94:61467 to TCP port 4662
Sam 25 Jan 2003 14:55:11 CET Unrecognized access from 80.38.87.243:3865 to TCP port 4662
Sam 25 Jan 2003 14:55:28 CET Unrecognized access from 80.139.205.202:4415 to TCP port 4662
Sam 25 Jan 2003 14:55:31 CET Unrecognized access from 80.139.205.202:4415 to TCP port 4662
Sam 25 Jan 2003 14:55:34 CET Unrecognized access from 80.137.213.109:4669 to TCP port 4662
Sam 25 Jan 2003 14:55:37 CET Unrecognized access from 80.139.205.202:4415 to TCP port 4662
Sam 25 Jan 2003 14:55:37 CET Unrecognized access from 80.137.213.109:4669 to TCP port 4662
Sam 25 Jan 2003 14:55:39 CET Unrecognized access from 217.227.95.94:61634 to TCP port 4662
Sam 25 Jan 2003 14:55:42 CET Unrecognized access from 217.227.95.94:61634 to TCP port 4662
Sam 25 Jan 2003 14:55:43 CET Unrecognized access from 80.137.213.109:4669 to TCP port 4662
Sam 25 Jan 2003 14:55:48 CET Unrecognized access from 217.227.95.94:61634 to TCP port 4662
Sam 25 Jan 2003 14:56:05 CET Unrecognized access from 80.38.87.243:3986 to TCP port 4662
Sam 25 Jan 2003 14:56:06 CET Unrecognized access from 80.32.47.137:4388 to TCP port 4662
Sam 25 Jan 2003 14:56:08 CET Unrecognized access from 80.38.87.243:3986 to TCP port 4662
Sam 25 Jan 2003 14:56:09 CET Unrecognized access from 80.32.47.137:4388 to TCP port 4662
Sam 25 Jan 2003 14:56:11 CET Unrecognized access from 80.139.205.202:4580 to TCP port 4662
Sam 25 Jan 2003 14:56:14 CET Unrecognized access from 80.139.205.202:4580 to TCP port 4662
Sam 25 Jan 2003 14:56:14 CET Unrecognized access from 80.32.47.137:4388 to TCP port 4662
Sam 25 Jan 2003 14:56:14 CET Unrecognized access from 80.38.87.243:3986 to TCP port 4662
Sam 25 Jan 2003 14:56:19 CET Unrecognized access from 80.139.205.202:4580 to TCP port 4662
Sam 25 Jan 2003 14:56:34 CET Unrecognized access from 80.137.213.109:1247 to TCP port 4662
Sam 25 Jan 2003 14:56:37 CET Unrecognized access from 80.137.213.109:1247 to TCP port 4662
Sam 25 Jan 2003 14:56:37 CET Unrecognized access from 212.202.241.126:3504 to TCP port 4662
Sam 25 Jan 2003 14:56:40 CET Unrecognized access from 212.202.241.126:3504 to TCP port 4662
Sam 25 Jan 2003 14:56:43 CET Unrecognized access from 80.137.213.109:1247 to TCP port 4662
Sam 25 Jan 2003 14:56:46 CET Unrecognized access from 212.202.241.126:3504 to TCP port 4662
Sam 25 Jan 2003 14:56:49 CET Unrecognized access from 217.235.142.133:3312 to TCP port 4662
Sam 25 Jan 2003 14:56:51 CET Unrecognized access from 80.139.205.202:4817 to TCP port 4662
Sam 25 Jan 2003 14:56:53 CET Unrecognized access from 217.235.142.133:3312 to TCP port 4662
Sam 25 Jan 2003 14:56:54 CET Unrecognized access from 80.139.205.202:4817 to TCP port 4662
Sam 25 Jan 2003 14:56:59 CET Unrecognized access from 217.235.142.133:3312 to TCP port 4662
Sam 25 Jan 2003 14:57:00 CET Unrecognized access from 80.139.205.202:4817 to TCP port 4662
Sam 25 Jan 2003 14:57:05 CET Unrecognized access from 80.38.87.243:4118 to TCP port 4662
Sam 25 Jan 2003 14:57:08 CET Unrecognized access from 80.38.87.243:4118 to TCP port 4662
Sam 25 Jan 2003 14:57:14 CET Unrecognized access from 80.32.47.137:4581 to TCP port 4662
Sam 25 Jan 2003 14:57:14 CET Unrecognized access from 80.38.87.243:4118 to TCP port 4662
Sam 25 Jan 2003 14:57:15 CET Unrecognized access from 217.84.91.118:57490 to TCP port 4662
Sam 25 Jan 2003 14:57:16 CET Unrecognized access from 80.32.47.137:4581 to TCP port 4662
Sam 25 Jan 2003 14:57:18 CET Unrecognized access from 217.84.91.118:57490 to TCP port 4662
Sam 25 Jan 2003 14:57:21 CET Unrecognized access from 212.202.241.126:3683 to TCP port 4662
Sam 25 Jan 2003 14:57:23 CET Unrecognized access from 80.32.47.137:4581 to TCP port 4662
Sam 25 Jan 2003 14:57:24 CET Unrecognized access from 80.142.222.75:4534 to TCP port 4662
Sam 25 Jan 2003 14:57:24 CET Unrecognized access from 212.202.241.126:3683 to TCP port 4662
Sam 25 Jan 2003 14:57:24 CET Unrecognized access from 217.84.91.118:51784 to TCP port 4662
Sam 25 Jan 2003 14:57:26 CET Unrecognized access from 80.142.222.75:4534 to TCP port 4662
Sam 25 Jan 2003 14:57:29 CET Unrecognized access from 80.35.99.161:2962 to TCP port 4662
Sam 25 Jan 2003 14:57:30 CET Unrecognized access from 212.202.241.126:3683 to TCP port 4662
Sam 25 Jan 2003 14:57:32 CET Unrecognized access from 80.35.99.161:2962 to TCP port 4662
Sam 25 Jan 2003 14:57:32 CET Unrecognized access from 80.142.222.75:4534 to TCP port 4662
Sam 25 Jan 2003 14:57:33 CET Unrecognized access from 80.128.84.140:63903 to TCP port 4662
Sam 25 Jan 2003 14:57:36 CET Unrecognized access from 80.128.84.140:63903 to TCP port 4662
Sam 25 Jan 2003 14:57:38 CET Unrecognized access from 80.35.99.161:2962 to TCP port 4662
Sam 25 Jan 2003 14:57:41 CET Unrecognized access from 128.40.92.103:1114 to UDP port 1434
Sam 25 Jan 2003 14:57:42 CET Unrecognized access from 80.128.84.140:63903 to TCP port 4662
Sam 25 Jan 2003 14:57:54 CET Unrecognized access from 217.235.142.133:3493 to TCP port 4662
Sam 25 Jan 2003 14:57:56 CET Unrecognized access from 217.84.91.118:58098 to TCP port 4662
Sam 25 Jan 2003 14:57:57 CET Unrecognized access from 217.235.142.133:3493 to TCP port 4662
Sam 25 Jan 2003 14:57:59 CET Unrecognized access from 217.84.91.118:58098 to TCP port 4662
Sam 25 Jan 2003 14:58:01 CET Unrecognized access from 212.202.241.126:3851 to TCP port 4662
Sam 25 Jan 2003 14:58:03 CET Unrecognized access from 217.235.142.133:3493 to TCP port 4662
Sam 25 Jan 2003 14:58:04 CET Unrecognized access from 212.202.241.126:3851 to TCP port 4662
Sam 25 Jan 2003 14:58:05 CET Unrecognized access from 217.84.91.118:61203 to TCP port 4662
Sam 25 Jan 2003 14:58:07 CET Unrecognized access from 218.164.55.50:1025 to UDP port 137
Sam 25 Jan 2003 14:58:08 CET Unrecognized access from 80.142.222.75:4796 to TCP port 4662
Sam 25 Jan 2003 14:58:10 CET Unrecognized access from 212.202.241.126:3851 to TCP port 4662
Sam 25 Jan 2003 14:58:11 CET Unrecognized access from 80.142.222.75:4796 to TCP port 4662
Sam 25 Jan 2003 14:58:13 CET Unrecognized access from 80.35.99.161:3063 to TCP port 4662
Sam 25 Jan 2003 14:58:13 CET Unrecognized access from 217.68.167.62:4248 to TCP port 4662
Sam 25 Jan 2003 14:58:15 CET Unrecognized access from 80.32.47.137:4779 to TCP port 4662
Sam 25 Jan 2003 14:58:16 CET Unrecognized access from 65.39.147.45:3097 to UDP port 1434
Sam 25 Jan 2003 14:58:16 CET Unrecognized access from 80.35.99.161:3063 to TCP port 4662
Sam 25 Jan 2003 14:58:16 CET Unrecognized access from 80.128.84.140:63919 to TCP port 4662
Sam 25 Jan 2003 14:58:17 CET Unrecognized access from 80.142.222.75:4796 to TCP port 4662
Sam 25 Jan 2003 14:58:17 CET Unrecognized access from 80.32.47.137:4779 to TCP port 4662
Sam 25 Jan 2003 14:58:19 CET Unrecognized access from 80.128.84.140:63919 to TCP port 4662
Sam 25 Jan 2003 14:58:19 CET Unrecognized access from 217.68.167.62:4248 to TCP port 4662
Sam 25 Jan 2003 14:58:22 CET Unrecognized access from 80.35.99.161:3063 to TCP port 4662
Sam 25 Jan 2003 14:58:23 CET Unrecognized access from 80.141.143.113:3864 to TCP port 4662
Sam 25 Jan 2003 14:58:24 CET Unrecognized access from 80.32.47.137:4779 to TCP port 4662
Sam 25 Jan 2003 14:58:25 CET Unrecognized access from 80.128.84.140:63919 to TCP port 4662
Sam 25 Jan 2003 14:58:26 CET Unrecognized access from 80.141.143.113:3864 to TCP port 4662
Sam 25 Jan 2003 14:58:32 CET Unrecognized access from 80.141.143.113:3864 to TCP port 4662
Sam 25 Jan 2003 14:58:36 CET Unrecognized access from 217.84.91.118:51584 to TCP port 4662
Sam 25 Jan 2003 14:58:39 CET Unrecognized access from 217.84.91.118:51584 to TCP port 4662
Sam 25 Jan 2003 14:58:45 CET Unrecognized access from 217.84.91.118:55949 to TCP port 4662
Sam 25 Jan 2003 14:58:47 CET Unrecognized access from 80.130.51.187:2211 to TCP port 4662
Sam 25 Jan 2003 14:58:50 CET Unrecognized access from 80.130.51.187:2211 to TCP port 4662
Sam 25 Jan 2003 14:58:52 CET Unrecognized access from 80.142.222.75:3045 to TCP port 4662
Sam 25 Jan 2003 14:58:54 CET Unrecognized access from 217.235.142.133:3710 to TCP port 4662
Sam 25 Jan 2003 14:58:55 CET Unrecognized access from 80.142.222.75:3045 to TCP port 4662
Sam 25 Jan 2003 14:58:56 CET Unrecognized access from 80.130.51.187:2211 to TCP port 4662
Sam 25 Jan 2003 14:58:57 CET Unrecognized access from 80.35.99.161:3148 to TCP port 4662
Sam 25 Jan 2003 14:58:57 CET Unrecognized access from 217.235.142.133:3710 to TCP port 4662
Sam 25 Jan 2003 14:58:59 CET Unrecognized access from 80.128.84.140:63699 to TCP port 4662
Sam 25 Jan 2003 14:59:00 CET Unrecognized access from 80.35.99.161:3148 to TCP port 4662
Sam 25 Jan 2003 14:59:01 CET Unrecognized access from 80.142.222.75:3045 to TCP port 4662
Sam 25 Jan 2003 14:59:02 CET Unrecognized access from 80.128.84.140:63699 to TCP port 4662
Sam 25 Jan 2003 14:59:03 CET Unrecognized access from 217.235.142.133:3710 to TCP port 4662
Sam 25 Jan 2003 14:59:06 CET Unrecognized access from 80.35.99.161:3148 to TCP port 4662
Sam 25 Jan 2003 14:59:08 CET Unrecognized access from 80.128.84.140:63699 to TCP port 4662
Sam 25 Jan 2003 14:59:08 CET Unrecognized access from 80.130.51.187:2211 to TCP port 4662
Sam 25 Jan 2003 14:59:14 CET Unrecognized access from 217.68.167.62:4967 to TCP port 4662
Sam 25 Jan 2003 14:59:20 CET Unrecognized access from 217.68.167.62:4967 to TCP port 4662
Sam 25 Jan 2003 14:59:26 CET Unrecognized access from 80.141.143.113:4066 to TCP port 4662
Sam 25 Jan 2003 14:59:28 CET Unrecognized access from 80.130.51.187:2383 to TCP port 4662
Sam 25 Jan 2003 14:59:30 CET Unrecognized access from 80.141.143.113:4066 to TCP port 4662
Sam 25 Jan 2003 14:59:31 CET Unrecognized access from 80.130.51.187:2383 to TCP port 4662
Sam 25 Jan 2003 14:59:32 CET Unrecognized access from 80.130.51.187:2211 to TCP port 4662
Sam 25 Jan 2003 14:59:37 CET Unrecognized access from 80.141.143.113:4066 to TCP port 4662
Sam 25 Jan 2003 14:59:38 CET Unrecognized access from 80.130.51.187:2383 to TCP port 4662
Sam 25 Jan 2003 14:59:50 CET Unrecognized access from 80.130.51.187:2383 to TCP port 4662
Sam 25 Jan 2003 15:00:09 CET Unrecognized access from 80.130.51.187:2550 to TCP port 4662
Sam 25 Jan 2003 15:00:12 CET Unrecognized access from 80.130.51.187:2550 to TCP port 4662
Sam 25 Jan 2003 15:00:14 CET Unrecognized access from 80.130.51.187:2383 to TCP port 4662
Sam 25 Jan 2003 15:00:15 CET Unrecognized access from 217.68.167.62:3343 to TCP port 4662
Sam 25 Jan 2003 15:00:18 CET Unrecognized access from 80.130.51.187:2550 to TCP port 4662
Sam 25 Jan 2003 15:00:21 CET Unrecognized access from 217.68.167.62:3343 to TCP port 4662
Sam 25 Jan 2003 15:00:29 CET Unrecognized access from 80.141.143.113:4272 to TCP port 4662
Sam 25 Jan 2003 15:00:30 CET Unrecognized access from 80.130.51.187:2550 to TCP port 4662
Sam 25 Jan 2003 15:00:32 CET Unrecognized access from 80.141.143.113:4272 to TCP port 4662
Sam 25 Jan 2003 15:00:35 CET Unrecognized access from 195.14.205.173:3032 to TCP port 4662
Sam 25 Jan 2003 15:00:38 CET Unrecognized access from 195.14.205.173:3032 to TCP port 4662
Sam 25 Jan 2003 15:00:38 CET Unrecognized access from 80.141.143.113:4272 to TCP port 4662
Sam 25 Jan 2003 15:00:44 CET Unrecognized access from 195.14.205.173:3032 to TCP port 4662
Sam 25 Jan 2003 15:00:51 CET Unrecognized access from 80.130.51.187:2718 to TCP port 4662
Sam 25 Jan 2003 15:00:53 CET Unrecognized access from 80.130.51.187:2718 to TCP port 4662
Sam 25 Jan 2003 15:00:54 CET Unrecognized access from 80.130.51.187:2550 to TCP port 4662
Sam 25 Jan 2003 15:00:59 CET Unrecognized access from 80.130.51.187:2718 to TCP port 4662
Sam 25 Jan 2003 15:01:11 CET Unrecognized access from 80.130.51.187:2718 to TCP port 4662
Sam 25 Jan 2003 15:01:16 CET Unrecognized access from 66.72.186.29:1030 to UDP port 137
Sam 25 Jan 2003 15:01:35 CET Unrecognized access from 80.130.51.187:2718 to TCP port 4662
Sam 25 Jan 2003 15:01:41 CET Unrecognized access from 195.14.205.173:3593 to TCP port 4662
Sam 25 Jan 2003 15:01:44 CET Unrecognized access from 195.14.205.173:3593 to TCP port 4662
Sam 25 Jan 2003 15:01:50 CET Unrecognized access from 195.14.205.173:3593 to TCP port 4662
Sam 25 Jan 2003 15:01:57 CET Unrecognized access from 217.127.188.23:2254 to TCP port 4662
Sam 25 Jan 2003 15:01:59 CET Unrecognized access from 217.127.188.23:2254 to TCP port 4662
Sam 25 Jan 2003 15:02:05 CET Unrecognized access from 217.127.188.23:2254 to TCP port 4662
Sam 25 Jan 2003 15:02:42 CET Unrecognized access from 195.14.205.173:4153 to TCP port 4662
Sam 25 Jan 2003 15:02:45 CET Unrecognized access from 195.14.205.173:4153 to TCP port 4662
Sam 25 Jan 2003 15:02:51 CET Unrecognized access from 195.14.205.173:4153 to TCP port 4662
Sam 25 Jan 2003 15:03:42 CET Unrecognized access from 195.14.205.173:1350 to TCP port 4662
Sam 25 Jan 2003 15:03:45 CET Unrecognized access from 195.14.205.173:1350 to TCP port 4662
Sam 25 Jan 2003 15:03:49 CET Unrecognized access from 80.33.97.111:4253 to UDP port 4669
Sam 25 Jan 2003 15:03:51 CET Unrecognized access from 195.14.205.173:1350 to TCP port 4662

hallo!

das sieht mir nach emule(edonkey) aus.

//richard

ich nutze keine Sharesoftware

zur Zeit sind in Gebrauch
W2k Outlook (30 Minuten Abfrage)
w2k Mozilla

Suse 8.1 KMAIL (30 Minuten Abfrage)
Suse 8.1 xchat (nicht sehr aktiv gerade)
Suse 8.1 Konqueror (linuxforen)
Suse 8.1 Netscape (Routeradmin)

moin moin

ich hab einen gefangen ;)

Jan 25 16:04:17 [kernel] REJECT UDP IN=ppp0 OUT= MAC= SRC=209.115.227.4 DST=213.39.144.214 LEN=404 TOS=0x00 PREC=0x00 TTL=108 ID=3552 PROTO=UDP SPT=3004 DPT=1434 LEN=384


Gruß HL

Hi@all

Mir scheint da nichts in Netz gelaufen zu sein *shit* ;) Dafür weis ich mit den error.log - Einträgen meines Apachen nichts anzufangen:[Thu Jan 23 16:41:39 2003] [error] [client 217.235.94.46] request failed: error reading the headers
[Thu Jan 23 17:06:28 2003] [warn] child process 514 still did not exit, sending a SIGTERM
[Thu Jan 23 17:06:28 2003] [warn] child process 515 still did not exit, sending a SIGTERM
[Thu Jan 23 17:06:28 2003] [warn] child process 516 still did not exit, sending a SIGTERM
[Thu Jan 23 17:06:28 2003] [warn] child process 517 still did not exit, sending a SIGTERM
[Thu Jan 23 17:06:28 2003] [warn] child process 518 still did not exit, sending a SIGTERM
[Thu Jan 23 17:06:28 2003] [warn] child process 1182 still did not exit, sending a SIGTERM
[Thu Jan 23 17:06:28 2003] [warn] child process 1187 still did not exit, sending a SIGTERM
[Thu Jan 23 17:06:28 2003] [warn] child process 1483 still did not exit, sending a SIGTERM
[Thu Jan 23 17:06:28 2003] [warn] child process 2137 still did not exit, sending a SIGTERM
[Thu Jan 23 17:06:32 2003] [error] child process 514 still did not exit, sending a SIGKILL
[Thu Jan 23 17:06:32 2003] [error] child process 515 still did not exit, sending a SIGKILL
[Thu Jan 23 17:06:32 2003] [error] child process 516 still did not exit, sending a SIGKILL
[Thu Jan 23 17:06:32 2003] [error] child process 517 still did not exit, sending a SIGKILL
[Thu Jan 23 17:06:32 2003] [error] child process 518 still did not exit, sending a SIGKILL
[Thu Jan 23 17:06:32 2003] [error] child process 1182 still did not exit, sending a SIGKILL
[Thu Jan 23 17:06:32 2003] [error] child process 1187 still did not exit, sending a SIGKILL
[Thu Jan 23 17:06:32 2003] [error] child process 1483 still did not exit, sending a SIGKILL
[Thu Jan 23 17:06:32 2003] [error] child process 2137 still did not exit, sending a SIGKILL
Weis wäre wodurch diese Einträge zu stande kommen, oder ist das normal?

Cu
André

ich nutze keine Sharesoftware
Das musst du auch nicht. Wenn du die IP von einem Share-Software-Nutzer erbst, wirst du noch einige Stunden mit solchen Anfragen bombardiert, bis die restlichen nodes merken, dass du keine node betreibst. Das kann ein paar Stunden gehen.

Gruss, Andy

hm, habe seit 9 Uhr die IP nicht gewechselt :confused:

Sag ich doch: Mehrere Stunden ;)

Gruss, Andy

Sam 25 Jan 2003 15:01:16 CET Unrecognized access from 66.72.186.29:1030 to UDP port 137

Den Eintrag finde ich aber auf jeden Fall beunruhigend :(

Original geschrieben von knallzapzerap
Sam 25 Jan 2003 15:01:16 CET Unrecognized access from 66.72.186.29:1030 to UDP port 137

Den Eintrag finde ich aber auf jeden Fall beunruhigend :(

das is ja nur netbios (samba).

//richard

ich hab auch ein paar anfragen auf port 1434 in den log-dateien gefunden....z.B.


Jan 25 15:18:56 router kernel: FIREWALL:Input:Drop IN=ppp0 OUT= MAC= SRC=209.196.45.174 DST="meine-IP" LEN=404 TOS=0x00 PREC=0x00 TTL=114 ID=26497 PROTO=UDP SPT=1217 DPT=1434 LEN=384

Hier sind es 15 Hits in der letzten Stunde, es gab aber massive Störungen heute Mittag in Richtung USA. Auch jetzt ist es noch recht zäh :-/

Bye

Thorsten

jetzt kommen auch einige 1434er dazu


Sam 25 Jan 2003 15:46:56 CET Unrecognized access from 134.102.101.177:1248 to UDP port 1434
einige 4662......
Sam 25 Jan 2003 15:48:03 CET Unrecognized access from 213.52.143.211:1990 to UDP port 1434

das erklärt einiges.

ich hab heute vormittag keine einzige österreichische internetseite aufrufen können, internationaler verkehr hat ohne probleme funktioniert ...

Hi,

Von 6.30h in der Früh bis 17.05h hat meine Firewall in der Firma 120600 Anfragen an diesen Port verworfen. Am Vormittag ging www.orf.at nicht, lag aber auch daran, dass 5 der 13 Root-Server nicht erreichbar waren. Das was alle befürchtet haben ist eingetreten, das DNS System ist vollkommen unbrauchbar geworden. 13 Angriffspunkte und das ganze Internet steht.

Ciao, Bernie

welches System nutzen die ROOtSever ?

bestimmt nicht windows oder ? :ugly:

moin moin


Internet Security Systems hat AlertCon 4 ("Katastrophale Bedrohung") ausgerufen -- eine höhere als seinerzeit bei Code Red oder Nimda. Bereits in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines einzigen UDP-Pakets verschicken kann.


http://www.heise.de/newsticker/data/pab-25.01.03-000/

Mit seinen 376 Byte wird er vermutlich sehr einfach gestrickt sein. Vermutlich schickt er sich nur an IP-Addressen ohne DNS-Auflösung?

Steht leider nirgens was. Hat mal jemand ein solches UDP-Paket eingefangen?

Gruss, Andy

In welcher Log muss ich nachschauen?

@RapidMax

siehe komplette meldung.

Nachdem der Wurm die Kontrolle über den Rechner erlangt hat, startet er einen Prozess namens WS2_32.DLL und versucht fortan zufällig ausgewählte IP-Adressen über den UDP-Port 1434 in einer endlosen Schleife zu infizieren.

@RapidMax
Mit seinen 376 Byte wird er vermutlich sehr einfach gestrickt sein.
hmm, in meinen Augen ist er allein schon aufgrund der Größe als "sophisticated" einzustufen

Vermutlich schickt er sich nur an IP-Addressen ohne DNS-Auflösung?Ja. Eine DNS Abfrage ist zudem völlig unnütz, wie will er an die Namen kommen? (Nur einer von einigen Gründen, die gegen eine DNS Abfrage sprechen. Aufgrund den Netzwerkauswirkungen, kann man sagen: Gut Programmiert

Steht leider nirgens was. Hat mal jemand ein solches UDP-Paket eingefangen? Das letzte Mal als ich in die Logs schaute ca. 18:00 Uhr) hätte ich ca. 104x die Möglichkeit gehabt ihn anzuschauen :D Da ich diese Pakete jedoch nicht annehme musste ich mir ihn und einige Screenshots auf Bugtraq ansehen :eek:

Hi,

So sieht der Wurm aus:
http://www.eeye.com/html/Research/Flash/sapphire.txt

Ciao, Bernie

Original geschrieben von bernie
Hi,

So sieht der Wurm aus:
http://www.eeye.com/html/Research/Flash/sapphire.txt

Ciao, Bernie

Eigentlich unscheinbar :D

cu

Jochen

moin moin


noch so klein und schon so böse :D


Gruß HL

Also ich habe ganz massive Probleme mit dem Seitenaufbau von Spiegel,Bild,Pro-Sieben und Waz gehabt.

Welt-Online war die ganze Zeit immer erreichbar.

Der Internet Wurm soll ja hauptsächlich Mikisoft-Server angreifen,weil die Admins angeblich einen schon lang bereitgestellten Patch nicht abgerufen haben.

Mittlerweile ist fast alles wieder Ok. Nur pro-sieben ist immer noch nicht ganz in Ordnung.

Wahrscheinlich haben obengenannte Seiten reichlich SQL-Server von Mikisoft benutzt.

Was sagt uns das???

Original geschrieben von HangLoose
moin moin


noch so klein und schon so böse :D


Gruß HL

Was macht der erst wenn er ausgewachsen ist! :eek:

cu

Jochen

Was macht der erst wenn er ausgewachsen ist!


man stelle sich nur mal vor der wurm hätte ne echte *schadensroutine* gehabt. soweit ich das bis jetzt mitbekommen habe, werden ja keinerlei daten der betroffenen systeme verändert.

allerdings, systeme die über traffic abrechnen, dürfte trotzdem ein erheblicher schaden enstanden sein.

am montag werden wohl einige admins das schienenbein frei machen dürfen. einen patch der das prob behebt, soll es ja seit juli 2002 geben.


Gruß HL

Ich würde sagen, das sind Admis die hauptsächlich Mikisoft SQL-Server eingesetzt haben. Das ist doch schon sehr bezeichnend. Das ist die angekündigte Sicherheitsinitiative von Mik.........:D