Hallo, ist jemand was über neue NetBIOS-Angriffe bekant? Die Logs sind voll mit geblockten Connections auf Port 139.
Weis jemand was die vorhaben? Neue Sicherheitslücke?

mfg

Eddi

Die Einträge kommen vermutlich von Deinem internen LAN, da Windowskisten eine grosse Menge an NetBIOS traffic generieren.

Schau einfach mal welches Interface bzw. welche source Adresse im Logfile steht .

Die Internen sind es nicht. Alle Angriffe gehen an die Firewall von extern. Vermultung liegt nahe: ein Virus, der über die Windowsfreigaben ähnlich Nimda, sich verbreitet.
Habe auf Security-Seiten geschaut - bis jetzt scheint nichts bekannt zu sein. Übrigens: hat jemand ein paar Tipps für gescheite Security Mailing Listen?


mfg

Ich kann leider nicht beurteilen, wieviele Angriffe auf Port 139 es "früher" noch war. Aber ich habe auch sehr viele "Anfragen" aus dem Internet auf diesem Port. So an die 10 Stück in der Stunde. Ist das normal?

Original geschrieben von Eddie
.
Habe auf Security-Seiten geschaut - bis jetzt scheint nichts bekannt zu sein. Übrigens: hat jemand ein paar Tipps für gescheite Security Mailing Listen?


mfg

http://CERT.Uni-Stuttgart.DE/

find ich ganz Ok, immer aktuell.


http://www.astalavistagroup.ch/


kommt nur monatlich

pudding

Die Security Mailingliste deiner Distribution ist vermutlich kein Fehler.

www.securityfocus.com bietet auch einige Mailinglisten zum Thema an (u.a. bugtraq).

Hi Eddie,

falls Du die Antwort noch nicht kennen solltest.

Ich habe nähmlich das gleiche in meinen Log-Files
festgestellt und noch einiger Forschungszeit, die
Antwort darauf gefunden.

Es ist der brandaktuelle Wurm der seit 1 Oktober
sein unwesen treibt.

sieht dort:

http://www.viruslist.com/eng/viruslist.html?id=52256

Timbo