|
Chello& Code Red
Ist ganz Chello mittlerweile Code Red verseucht?
Mein Firewall Log meldet 85 abgewiesene Anfragen innerhalb der letzten Stunde an Port 80 alle aus dem Chello internen Netz. Gestern war's noch die Hälfte, das ist nimmer lustig.-((. g17 |
ist bei mir genauso, meine Firewall hat gestern sage und schreibe 677 Zugriffe abgewehrt! :eek:
|
Aber das soviele, so Ahnungslos sind, es wurde in den Bin NGs zwar W2k Server gepostet,aber ich muß doch wissen was ich mir installiere. Bin gespannt wie das weitergeht.
g17 |
Ich hatte mir gleich den Patch installiert, also von mir wird hoffentlich nix kommen.
|
Das Sicherste ist immer, alle Dienste die man nicht braucht
zu deinstallieren. Denn bei einen Dienst den man nicht hat gibts keinen Exploit und keine Fehlkonfiguration. Servus g17 |
ein w2k prof is eh ned betroffen, oder?
und a w2k server? wenn ich den webserver ned installiert hab, dann hab ich wohl kein problem... |
Zitat:
|
Scheint echt so, daß der CII im chello-netz kursiert; würde auch erklären, daß man nur von chello IPs gescannt wird!
bei mir sinds lt. firewall-log ca. 150 scans pro STUNDE!!! aber immer nur von "Verseuchten" innerhalb meines subnetzes( 213.xxx); is deshalb das netz so lahm zur zeit?!? http://www.onlinekosten.de/news/artikel.php3?id=6522 bin gespannt, wie chello das lösen wird! ciao |
hm, das könnt sein, dass das chello netz deswegen derzeit so lahm is....
obwohl ich hab gestern über nacht ca. 600mb runtergeladen, bei knapp 100mb/std also mit voller geschwindigkeit, das wär dann weider ein widerspruch.... :confused: :D |
Was soll denn Chello unternehemen, bitteschön ?
Den 80er Port sperren ? Wer ist denn verantwortlich wenn auf seinem System ein Virus ist? Doch jeder selbst, oder? Also werft eure Virenscanner an, benachrichtigt die, von denen ihr zugemüllt werdet (wenn möglich). |
CodeRed im Chello-Netz
Hallo, Leute!
1.) CodeRed Da bin ich ja eh gut dran, denn meine Firewall meldet mir zu Spitzenzeiten (Abends wenn alle Surfen) "nur" rund 150 geblockte Verbindungen in der Stunde. Durch den netten CodeRed wird's jetzt allerdings interessant: Gibt's im Chello-Netz wirklich so viele (legale) IIS 5.0 Web-Server, oder laufen da Tonnen von illegalen? Eigentlich sollte man(n) den Einschlägen auf der/den Firewall(s) (IP-Adressen) nachgehen um zu erheben ob es sich dabei um legale Web-Server handelt oder nicht. Wenn sich's dabei um illegale Server handelt welche unter'm Single-Surfer-Account betrieben werden, dann wäre ich durchaus dafür das Chello den Typen mal in den Hintern tritt, den mein Datendurchsatz ist fast nicht mehr existent - die Firewall blockt mehr als sie transferiert. Allerdings ist nicht nur Chello infiziert: Ich Administriere einen Web- und einen Mail-Server welche an eine Standleitung angeschlossen sind die absolut nichts mit Chello zu tun hat. Das Log vom Apache hat zwischenzeitlich eine Beachtliche Anzahl von infektionsversuchen verbucht welche von so ziemlich überall her kommen ... wäre der Server ein W2k mit dem IIS ohne dem Patch wäre er schon längst zum Opfer geworden... Ich hasse Viren und Trojaner. 2.) Wer kann infiziert werden? Nun, eigentlich können nur Systeme welche einen Windows 2000 Server bzw. ein Windows 2000 Professional mit dem Internet Information Server 5.0 bzw. Personal Web Server 5.0 infiziert werden - den dann läuft auf Port 80 der Web-Server über welchen sich der Trojaner zugang zum Rechner verschafft. Sollte jedoch der Patch von Microsoft eingespielt sein, ist diese Lücke geschlossen(?) und der Rechner kann als ziemlich sicher angesehen werden - solange keine andere Lücke auftaucht. Unter der URL http://www.unixwiz.net/techtips/CodeRedII.html findet Ihr eine Technische Beschreibung des CodeRed.v3 alias CodeRed II alias CodeRed 2.0. Unter der URL http://www.symantec.com/avcenter/ven...odered.v3.html befindet sich ebenfalls eine detailierte Beschreibung und auch der Link zum Download des MS-Patch. Auf ein hoffenlich bald Virenfreies Chello-Netz hoffend (Wunschdenken), Gruss, Jochen |
@ valo: in der nacht is eh ok, denn da sind wohl die meisten kunden offline
@ mz: hast vollkommen recht, chello kann da ja nix dafür wenn sich user "leichtfertig" infizieren(is echt nicht ironisch gemeint); aber hat schon ein Virenscanner-Anbieter diesen virus in seinen def-files? @ stormbringer: scheinbar laufen echt ne menge illegale ENDuser-server; wollte vielleicht chello so rausfinden, wer nen laufen hat? :lol: wird sich sicher alles wieder in den griff bekommen lassen, mir tun nur die leid, die bei standleitungen immer noch keine firewall und kein Antivirusprog laufen haben - selber schuld! ciao |
__________________________________________________ __________
stormbringer: scheinbar laufen echt ne menge illegale ENDuser-server; wollte vielleicht chello so rausfinden, wer nen laufen hat? __________________________________________________ __________ Nein das sind Warezsauger aus den Bin NGs. W2k Server wurde jetzt vor kurzen gepostet, die haben ihn installiert und wissen nicht was los ist.Brauchst nur wahllos IPs aus dem Log nehmen und versuchen Dich damit zu verbinden, dann siehst bei den meisten das zwar der Server lauft aber sonst nichts. Servus g17 |
habe euren thread gelesen und meine firewall genauer beobachtet...:D
habe in einer stunde sage und schreibe 1890 zugriffe,wobei icq dabei ist(hab ich nicht installiert)...dürfte an chello liegen,dass ein wurm durch ihr netz schleicht... und ich dachte,die sitzen nur hinter ihren schreibtischen...:D :D werde das näher beobachten.... :eek: :eek: mfg.morph:tux: |
wäre interessant zu wissen wie viele Angriffe bei 500 abgwehreten Attacken doch durchkommen? Auf www.symantec.com kann man checken wie sicher der eigene Rechner ist, lt. denen ist meiner noch clean. :cool:
|
wennst du sie gescheit konfiguriert hast, zb. lt. der url von meiner mail, können sich die jungs -gurckerln- :p bzw. todsicher ist nix, keine frage aber für die ganzen ich probierts bubis reichts allemal und einen vollprofi kann man sowieso nicht aufhalten - aber die haben ja anderes zu tun:D
|
Zitat:
Hier würde mich Eure Meinung interessieren ob das nicht eine gute Aktion sein könnte ... sofern sich hier nicht sowieso lauter "NATler" bzw. "MASQuerader" herumtreiben. Gruss, Jochen |
@ manfred: solange du nicht infiziert bist, d.h: keinen CLIENT bei dir laufen hast, kommt gar nix durch; nicht mal bei nem ungesicherten system! - der trojaner findet nämlich dann keinen ansprechpartner!
:D mein unix-firewall sagt mir ja auch nur, daß ich angegriffen werde, und wenn ich auf meinem windows client nicht z.b.: ZA laufen hätte(der auch AUSGEHENDE verbindungen überwacht), würd ich im falle einer infektion wohl nix davon merken(außer ich schau mir immer die logs der firewall an)! |
code red 2 hat die eigenschaft sich zuerst im eigenen netzwerk zu verbreiten. daher nehm ich an dass es an dem liegen wird.
|
cindy, recht hast!
ciao :lol: :lol: |
@LF
ja, danke nochmals im Nachhinein! @andreo ist beruhigend, ich habe nämlich keinen Client laufen. |
Zitat:
|
Zitat:
ist ja doch für was gut, die Hardware Firewall von Elsa :D enjoy |
jo, das ist dann eine männliche Firewall. :cool:
|
aha jetzt geht es auf einmal doch???
naja, einige Tests kann er nicht durchführen, beim Virusscan meckert er, dass ich keinen installiert habe, obwohl, naja, was soll ich sagen werde wohl ziemlich geschützt sein enjoy |
@ enjoy2
Eine der besten Testseiten im Netz ist <http://www.vulnerabilities.org> Nmap und Nessus Scan scheint aber gerade überlastet. Gut ist auch http://www.lfd.niedersachsen.de/serv...e_selbstt.html Die Testseite von Symantec verlangt IIRC das man ActiveX einschaltet, das du ich mir nicht an. g17 |
Nicht alle IIS 5.0 im Chello Netz müssen gleich ein echter Server sein. Office XP installiert ihn in der zwischenzeit auch samt einer verstümmelten Version von SQL Server 2000 die Access 2002 zum Speichern von Daten verwendet.
|
Ich habe hier ein kleines (???) Problem und hoffe, dass mir jemand von euch da weiterhelfen kann.
ich hab gestern und heute von chello 2 mails bekommen, dass mein PC mit dem Code Red infiziert ist. Theoretisch is zwar insofern möglich, da ich eine Zeit lang (leichtsinnigerweise) keine firewall installiert hatte. Nur hab ich weder WindowsNT, noch Windows2000 sondern WindowsME installiert. Und vor allem hab ich keinen Webserver installiert! Ich hab Office2000 installiert. Wird dann da auch der MS-IIS Webserver mitinstalliert? Gefunden hätt ich den nirgends. Und sollte ich diesen blöden Wurm jetzt wirklich haben, wie kann ich den denn los werden? Sicherheits-Patch gibts ja nur für Win2000 und WinNT, oder? Wäre nett, wenn mir da wer weiterhelfen könnte. In der zweiten mail steht nämlich Zitat:
|
Red-Code mit Win98 ???
Nachstehendes Mail habe ich gestern gegen Mitternacht von Chello bekommen. Ich habe Windows 98 installiert und hatte niemals Windows 2000.
Spinnen die jetzt ganz von chello ? Ich habe das Gefühl, die kennen sich wegen dieses Code-Red hinten und vorn nicht mehr aus und probieren einfach einen Rundumschlag. Wer weiss mehr ? matsch sängs vor jor tips müllersq " Sehr geehrter chello-Kunde von UPC Telekabel! Seit einigen Tagen ist ein neues Virus im Internet mit dem Namen 'Code Red' im Umlauf. Dieser Worm Virus infiziert Rechner auf denen der Microsoft IIS Webserver läuft. Der IIS Webserver ist Bestandteil der Betriebssysteme Windows NT und Windows 2000. Da dieses Virus ständig versucht, weitere MS-IIS Webserver zu infizieren , wird zusätzlicher Datenverkehr im chello Netzwerk wie auch im Internet verursacht. Es besteht die große Gefahr einer weiterführenden Infizierung anderer Computer, was auch Auswirkungen auf die Leistung des chello Netzwerkes nach sich ziehen kann. Die laufenden 'Anfragen' (= Versuch in weitere Rechner einzudringen) die das Virus ins Internet sendet erreichen auch die gesicherten chello-Router und werden - aus Servicegründen - von uns registriert. Eine dieser 'Anfragen' kommt von ihrem Computer, was mit hoher Wahrscheinlichkeit auf einen Code Red Virus auf Ihrem Rechner schliessen läßt. Um noch mehr Schäden zu vermeiden, hat Microsoft bereits einen Sicherheits Patch (Update) für dieses Problem zur Verfügung gestellt. Dieses Update können Sie kostenlos bei Microsoft downloaden. Windows NT 4.0: http://www.microsoft.com/Downloads/R...eleaseID=30833 (Deaktiviert den Code Red Virus unter Windows NT) Windows 2000 http://www.microsoft.com/Downloads/R...eleaseID=30800 (Deaktiviert den Code Red Virus unter Windows 2000) Code Red II Cleaner http://www.microsoft.com/Downloads/R...eleaseID=31878 (Löscht die Dateien die vom Virus am Computer angelegt wurden) Führen Sie bitte sowohl den Sicherheitspatch, wie auch den Cleaner zum entfernen des Virus auf Ihrem Computer durch. Microsoft Support Hotline Kostenloser/kostenpflichtiger Telefon-Support von Microsoft zu Microsoft Produkten. Montag - Freitag von 8:00 - 18:00 und NEU Samstag von 9:00 - 17:00 Tel.: Standard: (01) 50222 - 2255 Vertragsberatung: (01) 50222 - 2330 Web: http://www.microsoft.com/austria/support Daneben bietet Ihnen eine Reihe von autorisierten Support Centern Unterstützung für Microsoft BackOffice Produkte. Informationen darüber beim Microsoft InfoService. Wir bitten Sie umgehendst dieses Update in den nächsten 24 Stunden durchzuführen, um weitere Infektionen von MS-IIS Webservern und unnötigen Datenverkehr zu unterbinden. Für zusätzliche Fragen steht Ihnen auch der chello Helpdesk unter der Telefonnummer 96068 - 333 zur Verfügung. Mit freundlichen Grüßen Ihr chello-team von UPC Telekabel X-Mailer: myone " |
hm, also was mich an dieser mail wndert ist, dass sie den mails, die ich bekommen habe zwar sehr ähnlich sind, aber ein paar Unterschiede sind doch zu finden. Daraus würde ich mal schließen, dass das keine automatisierten mails sind.
Interessant finde ich vor allem, dass das Ultimatum bei dir nur 24 Stunden beträgt - bei mir warens 48 Stunden, und das erst in der zweiten mail - die können dich wohl nicht leiden :D nein, also Spaß beiseite - ich hatte auch nie 2000 oder NT installiert. Früher 98, jetzt ME. naja, ich werd da wohl oder übel morgen mal anrufen :( |
Hi,
Hast du denen schon eine Mail zurückgeschrieben? Schon mit einem guten Virenscanner versucht den Wurm zu finden? Ich verstehe auch nicht, warum Win98/ME Betriebsysteme nicht mit diesem Virus infiziert werden können und angeblich nur Win2k/NT betroffen sind. |
zum genauen Nachlesen: http://www.eeye.com/html/Research/Ad...L20010804.html
@müllersq Schreib ne Mail an Chello, dass du Win98 hast und frag sie wie du CodeRed löschen sollst.:lol: |
Hab schon ein Mail geschickt.
"Liebes chello-team, ich habe weder Windows NT noch Windows 2000 und schon gar keinen IIS Webserver (was immer das sein mag) auf meinem Computer laufen. Meiner läuft unter Windows 98. Es muss sich daher um eine Verwechslung handeln." Es ist aber fraglich, obs auch glesen wird. Ich bin doch nicht blöd, und häng mich mit dem Telefon eine halbe Stunde in die Warteschleife nur weil die nicht mehr ein und aus wissen. |
Ich glaube eher das Ihr einen Trojaner im System habts und dieser blöderweise Chello kontaktierte :D , naja, und Chello vermutet jetzt eben den Code Red, warum auch nicht! Ich an Eurer Stelle würde einmal auf www.symantec.com gehen und einen Onlinevirencheck machen, solltet Ihr einen Trojaner an Board haben wird er von Symantec zu 99% gefunden und Ihr könnt ihn entfernen. Noch was, habt Ihr eigentlich jetzt eine Firewall installiert oder nicht?, normalerweise müßte die Firewall anschlagen falls ein Programm oder ein Trojaner ins Intenet möchte.
|
@müllersq
tja, das hab ich mir eigentlich auch gedacht... aber mails an chello sind meist ja ziemlich aussichtslos. Und diese mail bekommen sie in diesen Tagen sicher nicht nur einmal (wir werden ja nicht die einzigen sein, die das Problem haben). @groovy also wenn ich das richtig verstanden habe, sind nicht prinzipiell nur Win2000 und WinNT betroffen, sondern Systeme, bei denen der MS-IIS-Webserver installiert ist - und bei dieses Betriebssystemen wird der automatisch mitinstalliert. oder seh ich da was falsch? @manfred hab eine firewall, hatte aber (leichtsinnigerweise) mal eine zeitlang keine... |
Auf meine Anwort auf die chello-code-red-warnung an chello hab ich heute Vormittag um 10:37 dieses Mail bekommen:
"Sehr geehrter Chello Kunde, Falls Sie Ihr System bereits in Ordnung gebracht haben oder den Code Red Wurm nicht auf Ihren System hatten (zb. Linux, Mac OS) ignorieren Sie bitte die email Warnung. Als kurze Erläuterung des "Code Red" können wir Ihnen das von Microsoft zur Verfügung gestellte Statement anbieten: Microsoft reagiert auf die schnelle Verbreitung des Wurms CodeRedII und stellt ein Tool bereit, das den Schädling entfernen kann. CodeRedII verbreitet sich mittels eines anderen IP-Scanning-Algorithmus als beim Original noch schneller und installiert zudem eine Hintertür auf den betroffenen Servern. Diese kann nicht einfach dadurch entfernt werden, dass man die angelegten Dateien ("Explorer.exe", "Root.exe") löscht. Das Microsoft-Programm entfernt nun die vom CodeRedII angelegten Dateien, startet das System neu, schaltet das Mapping für das Verzeichnis "/Scripts" oder "/MSADC" aus und bietet die Option, die Webserver-Software IIS komplett zu deaktivieren. Allen CodeRed-Varianten gemeinsam ist, dass sie eine Sicherheitslücke in Microsofts Internet Information Server (IIS) ausnutzen, die mit einem seit Juni verfügbaren Patch geschlossen werden kann. Wer keinen Server betreibt oder den Patch aufgespielt hat, ist nicht gefährdet. Mit freundlichen Gruessen Ihr chello Helpdesk Team ----------------------------------------------- Tel.: 96060 - 333 Gudrunstrasse 161 Fax: 96068 - 1960 A-1100 Wien Email: support@chello.at URL: http://subscriber.chello.at/support/" Ein paar Minuten um 10:46 dann dieses "Sehr geehrter chello-Kunde von UPC Telekabel! Sie haben am 09.08.01 23:46:27 eine Email von uns erhalten, in der wir Sie informierten, dass Ihr Microsoft IIS-Webserver mit hoher Wahrscheinlichkeit mit dem Virus 'Code Red Worm' infiziert wurde. Leider mussten wir feststellen, das Ihr Microsoft IIS-Webserver noch nicht upgedated wurde. Microsoft hat dazu bereits einen Sicherheits Patch (Update) zur Verfügung gestellt, welchen Sie bei Microsoft kostenlos downloaden können. Windows NT 4.0: http://www.microsoft.com/Downloads/R...eleaseID=30833 (Deaktiviert den Code Red Virus unter Windows NT) Windows 2000 http://www.microsoft.com/Downloads/R...eleaseID=30800 (Deaktiviert den Code Red Virus unter Windows 2000) Code Red II Cleaner http://www.microsoft.com/Downloads/R...eleaseID=31878 (Löscht die Dateien die vom Virus am Computer angelegt wurden) Führen Sie bitte sowohl den Sicherheitspatch, wie auch den Cleaner zum entfernen des Virus auf Ihrem Computer durch. Microsoft Support Hotline Kostenloser/kostenpflichtiger Telefon-Support von Microsoft zu Microsoft Produkten. Montag - Freitag von 8:00 - 18:00 und NEU Samstag von 9:00 - 17:00 Tel.: Standard: (01) 50222 - 2255 Vertragsberatung: (01) 50222 - 2330 Web: http://www.microsoft.com/austria/support Daneben bietet Ihnen eine Reihe von autorisierten Support Centern Unterstützung für Microsoft BackOffice Produkte. Informationen darüber beim Microsoft InfoService. Wir bitten Sie umgehendst dieses Update innerhalb der nächsten 48 Stunden durchführen, um weitere Infektionen von MS-IIS Webservern und unnötigen Datenverkehr zu unterbinden. Aus Sicherheitsgründen und zum Schutz unserer User wären wir sonst gezwungen ihren Internet-Anschluss vorübergehend zu deaktivieren. Wir bitten Sie um Verständnis und stehen Ihnen für zusätzliche Fragen, oder die Reaktivierung ihres chello Anschlusses unter der Telefonnummer 96060 - 333 zur Verfügung. Mit freundlichen Grüßen Ihr chello-Team von UPC Telekabel X-Mailer: myone" Irgendwie habe ich den Eindruck, dass hier die Rechte nicht weiss, was die Linke tut. Was solls. Ich hab mir dann das Code Red II Cleaner http://www.microsoft.com/Downloads/R...eleaseID=31878 (Löscht die Dateien die vom Virus am Computer angelegt wurden) downgeloadet und ausgeführt. Es ist zwar nicht abgestürzt, hat aber auch keinen Log-File angelegt. Oh Herr, vergib ihnen, den sie wissen nicht was sie tun sollen. Grüsse müllersq |
hab den selben email müll bekommen.
arbeite unter win98, mit firewall und hab den AVP...nix zu finden. die von chello sind sowas von inkompetent, daß ist einfach zum weinen --- |
:lol: :heul: also - da weiß man ja wirklich net, ob man lachen oder heulen soll. ich hab die selben mails bekommen. ich denke mal das kann man ruhigen Gewissens ignorieren...
|
naja nur wenns dir dann den account sperren, hatt niemand was davon...geh bitte dir bei chello sollen mal ihre hausübungen machen...und nicht so einen scheiß schreiben....*einböserfriedmann*
|
habe auch das mail bekommen...
die bei chello schwitzen anders... ist halt am einfachsten,dass problem auf den user abzuschieben... die können nach eigener auskunft nicht einmal die ip genau lokalisieren Zb.beginnt eine adresse mit 212.67....dann bekommen alle das mail wo die ip mit 212.67 anfängt... hätten die deppen einen anständigen server laufen(:D :D linux :D :D )hätten sie wahrscheinlich die hälfte der probleme...ist aber leichter einen kunden vom netz zu nehmen ,der vieleicht win 95 laufen hat und sich nicht wehren kann als das eigene problem in den eigenen 4 wänden in den griff zu kriegen....:p :p was solls.... sind halt alle überqualifiziert...vieleicht sollten wir doch auch leute aus dem ausland einstellen... dann hat man wenigstens eine indische hotline.. :eek: mfg.morph:tux: have a lot of fun |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 14:02 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag