6
Virus greift Clients hinter Firewall an, wie kann das sein?
Hallo,
ich hab vor ein paar Tagen den Virenscanner von Symantec auf Kaspersky umgestellt.
Seit her kommt an allen Arbeitsstationen regelmässig die Meldung:
Intrusion.Win.MSSQL.worm.Helkern;Der Angriff vom Protokoll UDP von der Adresse 201.51.3.75 am lokalen Port 1434 wurde erfolgreich abgewehrt.;06.05.2006 16:18:28
Wie kann es sein, dass trotz einer Firewall (Symantec Firewall\VPN 100) ein Client von ausen angegriffen werden kann?
Mfg Huhjukel
ich hab vor ein paar Tagen den Virenscanner von Symantec auf Kaspersky umgestellt.
Seit her kommt an allen Arbeitsstationen regelmässig die Meldung:
Intrusion.Win.MSSQL.worm.Helkern;Der Angriff vom Protokoll UDP von der Adresse 201.51.3.75 am lokalen Port 1434 wurde erfolgreich abgewehrt.;06.05.2006 16:18:28
Wie kann es sein, dass trotz einer Firewall (Symantec Firewall\VPN 100) ein Client von ausen angegriffen werden kann?
Mfg Huhjukel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 31964
Url: https://administrator.de/contentid/31964
Printed on: April 19, 2024 at 20:04 o'clock
6 Comments
Latest comment
1. die Datei wurde doch erfolgreich abgewehrt.
2. normalerweise schützt ja Firewall nicht vor Viren, sondern blockiert ausgehenden Verkehr !
3. überprüfe mal was dieser Wurm genau auslöst, könnte sein das die Datei zu einem Programm gehört und gar nicht gefährlich ist.
4. Norten Scanner ist Kapitel für sich, benutzte ihn auch und habe festgestellt, das man sich nicht wirklich sicher fühlen kann. (z.B.: automatische Updates, Einstellung verändert sich plötzlich)
2. normalerweise schützt ja Firewall nicht vor Viren, sondern blockiert ausgehenden Verkehr !
3. überprüfe mal was dieser Wurm genau auslöst, könnte sein das die Datei zu einem Programm gehört und gar nicht gefährlich ist.
4. Norten Scanner ist Kapitel für sich, benutzte ihn auch und habe festgestellt, das man sich nicht wirklich sicher fühlen kann. (z.B.: automatische Updates, Einstellung verändert sich plötzlich)
zu. 1 Ok, darüber bin ich auch recht froh.
zu 2. Ein kleiner Ausschnitt aus dem Glossar:
Firewall
Sammelbezeichnung für Lösungen, die versuchen, LANs, welche ans Internet angeschlossen sind, vor unberechtigtem Zugriff aus diesem zu schützen.....
Wenn der Angriff von einer IP kommt die absolut nichts mit meinem Netzwerk zu tun hat, dann muss ich doch annehmen, dass dieser Angriff aus dem WAN kommt. Und da ich diesen Zugriff nicht angefordert habe, handelt es sich doch um einen unberechtigten Zugriff aus dem Internet, oder?
zu 3. Will ich lieber nicht ausprobieren.
zu 4. Hab deswegen ja auch zu Kaspersky gewechselt, wobei ich eigentlich wenig Probleme hatte.
zu 2. Ein kleiner Ausschnitt aus dem Glossar:
Firewall
Sammelbezeichnung für Lösungen, die versuchen, LANs, welche ans Internet angeschlossen sind, vor unberechtigtem Zugriff aus diesem zu schützen.....
Wenn der Angriff von einer IP kommt die absolut nichts mit meinem Netzwerk zu tun hat, dann muss ich doch annehmen, dass dieser Angriff aus dem WAN kommt. Und da ich diesen Zugriff nicht angefordert habe, handelt es sich doch um einen unberechtigten Zugriff aus dem Internet, oder?
zu 3. Will ich lieber nicht ausprobieren.
zu 4. Hab deswegen ja auch zu Kaspersky gewechselt, wobei ich eigentlich wenig Probleme hatte.
das gute Stueck kennt man auch unter den namen SPIDA Worm.
er greift alle microsoft SQL-versionen ueber port 1433 an.
sobald er auf dem rechner ist, laedt er folgende dateien nach:
%SYSTEM%\sqlprocess.js
%SYSTEM%\sqlexec.js
5SYSTEM%\sqldir.js
%SYSTEM%\run
%SYSTEM%\sqlinstall.bat
%SYSTEM%\clemail.exe
%SYSTEM%\pwdump2.exe
%SYSTEM%\samdump.dll
%SYSTEM%\timer.dll
%SYSTEM%\drivers\services.exe
folgende links geben dir weitere informationen darueber, wie das schadprogramm arbeitet und wie man es wieder los wird (leider in englisch):
1. http://www.appsecinc.com/resources/alerts/mssql/02-0002.html
2.http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418
ich glaube allerdings NICHT, dass das schadprogramm bei dir "landen" konnte. deine firewall hat dir ja gemeldet, dass der angriff erfolgreich abgewehrt wurde.
obwohl...vertrauen ist gut, kontrolle ist besser. kostet ja nichts, mal den rechner auf oben genannte dateien zu ueberpruefen!
firewalls lassen sich aushebeln...
saludos
gnarff
er greift alle microsoft SQL-versionen ueber port 1433 an.
sobald er auf dem rechner ist, laedt er folgende dateien nach:
%SYSTEM%\sqlprocess.js
%SYSTEM%\sqlexec.js
5SYSTEM%\sqldir.js
%SYSTEM%\run
%SYSTEM%\sqlinstall.bat
%SYSTEM%\clemail.exe
%SYSTEM%\pwdump2.exe
%SYSTEM%\samdump.dll
%SYSTEM%\timer.dll
%SYSTEM%\drivers\services.exe
folgende links geben dir weitere informationen darueber, wie das schadprogramm arbeitet und wie man es wieder los wird (leider in englisch):
1. http://www.appsecinc.com/resources/alerts/mssql/02-0002.html
2.http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418
ich glaube allerdings NICHT, dass das schadprogramm bei dir "landen" konnte. deine firewall hat dir ja gemeldet, dass der angriff erfolgreich abgewehrt wurde.
obwohl...vertrauen ist gut, kontrolle ist besser. kostet ja nichts, mal den rechner auf oben genannte dateien zu ueberpruefen!
firewalls lassen sich aushebeln...
saludos
gnarff
ich glaube allerdings NICHT, dass das
schadprogramm bei dir "landen"
konnte. deine firewall hat dir ja gemeldet,
dass der angriff erfolgreich abgewehrt
wurde.
schadprogramm bei dir "landen"
konnte. deine firewall hat dir ja gemeldet,
dass der angriff erfolgreich abgewehrt
wurde.
Ich glaub nicht das die Meldung von der Firewall ist. Die Meldung die aufpoppt, ist vom Kaperskytool, und nicht vom Hersteller der Firewall.
Oder meinst die beiden Geräte komunizieren miteinander?
Was mir allerdings sorgen bereitet, dass ich auf 5 von 6 Rechnern im Netzwerk die Meldung bekommen, dass Anfriffer erfolgt sind, nur auf dem 6 Rechner kommen keinen und genau auf diesem Rechner läuft die SQL-Datenbank.
Mfg Huhjukel
Soderle, jetzt gibt es eine ganz neue Situation.
Ich hab in den Router ein neues (aktuelles) Firmeware eingespielt, jetzt scheint es so, dass der Laden wieder dicht ist.
Was mich aber wundert, dass obwohl ich im Router eingestellt habe, dass er Angriffe protokolieren soll, keine Einträge vom Helkernvirus drin sind.
Mfg Huhjukel
Ich hab in den Router ein neues (aktuelles) Firmeware eingespielt, jetzt scheint es so, dass der Laden wieder dicht ist.
Was mich aber wundert, dass obwohl ich im Router eingestellt habe, dass er Angriffe protokolieren soll, keine Einträge vom Helkernvirus drin sind.
Mfg Huhjukel
Huhjuckel, du bist der einzigste, den ich kenne, der sich beschwert KEIN schadprogramm auf dem rechner zu haben...oder habe ich das jetzt falsch verstanden?!
Warum dein router nichts protokolliert, obwohl du das so eingestellt hast, liegt wahrscheinlich daran das es nichts zu protokollieren gab
warum pruefst du nicht nach, ob deine SQL-Datenbanken befallen sind, den link hatte ich dir ja schon einmal gegeben, APP-Detective runterladen (testversion) unter:
https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppDetective
von der gleichen firma, APPLICATION Security INC. gibt es auch noch das product APP-Radar, damit kannst du deine SQL-Datenbanken gezielt ueberwachen. download der testversion unter:https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppRadar
saludos
gnarff
Warum dein router nichts protokolliert, obwohl du das so eingestellt hast, liegt wahrscheinlich daran das es nichts zu protokollieren gab
warum pruefst du nicht nach, ob deine SQL-Datenbanken befallen sind, den link hatte ich dir ja schon einmal gegeben, APP-Detective runterladen (testversion) unter:
https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppDetective
von der gleichen firma, APPLICATION Security INC. gibt es auch noch das product APP-Radar, damit kannst du deine SQL-Datenbanken gezielt ueberwachen. download der testversion unter:https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppRadar
saludos
gnarff
