Chello& Code Red

[stormbringer]

Hallo, Leute!

1.) CodeRed

Da bin ich ja eh gut dran, denn meine Firewall meldet mir zu Spitzenzeiten (Abends wenn alle Surfen) "nur" rund 150 geblockte Verbindungen in der Stunde.

Durch den netten CodeRed wird's jetzt allerdings interessant:

Gibt's im Chello-Netz wirklich so viele (legale) IIS 5.0 Web-Server, oder laufen da Tonnen von illegalen? Eigentlich sollte man(n) den Einschlägen auf der/den Firewall(s) (IP-Adressen) nachgehen um zu erheben ob es sich dabei um legale Web-Server handelt oder nicht.

Wenn sich's dabei um illegale Server handelt welche unter'm Single-Surfer-Account betrieben werden, dann wäre ich durchaus dafür das Chello den Typen mal in den Hintern tritt, den mein Datendurchsatz ist fast nicht mehr existent - die Firewall blockt mehr als sie transferiert.

Allerdings ist nicht nur Chello infiziert:

Ich Administriere einen Web- und einen Mail-Server welche an eine Standleitung angeschlossen sind die absolut nichts mit Chello zu tun hat. Das Log vom Apache hat zwischenzeitlich eine Beachtliche Anzahl von infektionsversuchen verbucht welche von so ziemlich überall her kommen ... wäre der Server ein W2k mit dem IIS ohne dem Patch wäre er schon längst zum Opfer geworden... Ich hasse Viren und Trojaner.

2.) Wer kann infiziert werden?

Nun, eigentlich können nur Systeme welche einen Windows 2000 Server bzw. ein Windows 2000 Professional mit dem Internet Information Server 5.0 bzw. Personal Web Server 5.0 infiziert werden - den dann läuft auf Port 80 der Web-Server über welchen sich der Trojaner zugang zum Rechner verschafft. Sollte jedoch der Patch von Microsoft eingespielt sein, ist diese Lücke geschlossen(?) und der Rechner kann als ziemlich sicher angesehen werden - solange keine andere Lücke auftaucht.

Unter der URL http://www.unixwiz.net/techtips/CodeRedII.html findet Ihr eine Technische Beschreibung des CodeRed.v3 alias CodeRed II alias CodeRed 2.0.

Unter der URL http://www.symantec.com/avcenter/ven...odered.v3.html befindet sich ebenfalls eine detailierte Beschreibung und auch der Link zum Download des MS-Patch.

Auf ein hoffenlich bald Virenfreies Chello-Netz hoffend (Wunschdenken),
Gruss, Jochen

[andero]

@ valo: in der nacht is eh ok, denn da sind wohl die meisten kunden offline
@ mz: hast vollkommen recht, chello kann da ja nix dafür wenn sich user "leichtfertig" infizieren(is echt nicht ironisch gemeint); aber hat schon ein Virenscanner-Anbieter diesen virus in seinen def-files?

@ stormbringer: scheinbar laufen echt ne menge illegale ENDuser-server; wollte vielleicht chello so rausfinden, wer nen laufen hat?

wird sich sicher alles wieder in den griff bekommen lassen, mir tun nur die leid, die bei standleitungen immer noch keine firewall und kein Antivirusprog laufen haben - selber schuld!

ciao

[g17]

__________________________________________________ __________
stormbringer: scheinbar laufen echt ne menge illegale ENDuser-server; wollte vielleicht chello so rausfinden, wer nen laufen hat?
__________________________________________________ __________

Nein das sind Warezsauger aus den Bin NGs. W2k Server wurde jetzt vor kurzen gepostet, die haben ihn installiert und wissen nicht was los ist.Brauchst nur wahllos IPs aus dem Log nehmen und versuchen Dich damit zu verbinden, dann siehst bei den meisten das zwar der Server lauft aber sonst nichts.

Servus
g17

[der_morpheus1]

habe euren thread gelesen und meine firewall genauer beobachtet...
habe in einer stunde sage und schreibe 1890 zugriffe,wobei icq dabei ist(hab ich nicht installiert)...dürfte an chello liegen,dass ein wurm durch ihr netz schleicht...
und ich dachte,die sitzen nur hinter ihren schreibtischen...
werde das näher beobachten....
mfg.morph

[Manfred]

wäre interessant zu wissen wie viele Angriffe bei 500 abgwehreten Attacken doch durchkommen? Auf www.symantec.com kann man checken wie sicher der eigene Rechner ist, lt. denen ist meiner noch clean.

[Lord Frederik]

wennst du sie gescheit konfiguriert hast, zb. lt. der url von meiner mail, können sich die jungs -gurckerln- bzw. todsicher ist nix, keine frage aber für die ganzen ich probierts bubis reichts allemal und einen vollprofi kann man sowieso nicht aufhalten - aber die haben ja anderes zu tun

[stormbringer]

Zitat:

g17 schrieb: Nein das sind Warezsauger aus den Bin NGs. W2k Server wurde jetzt vor kurzen gepostet, die haben ihn installiert und wissen nicht was los ist.Brauchst nur wahllos IPs aus dem Log nehmen und versuchen Dich damit zu verbinden, dann siehst bei den meisten das zwar der Server lauft aber sonst nichts.

Hmm... Wir die keinen Dreck am Stecken haben sollten es eigentlich in Betracht ziehen unsere gesammelten Firewall-Logs (so Eure Firewall in ein File Loggen) mit den IP-Adressen aus dem Chello-Pool an den Helpdesk und/oder Abuse zu Mailen damit die Typen dort mal gaaaanz langsam (wir wollen sie ja immerhin nicht mit zu viel Arbeit stressen ) in die Gänge kommen um etwas zu unternehmen - bei dem Intelligenzniveau der (meisten) Chello-Mitarbeiter (im speziellen der First-Level Helpdesk Mitarbeiter) kommen mir jedoch ernsthafte Zweifel.

Hier würde mich Eure Meinung interessieren ob das nicht eine gute Aktion sein könnte ... sofern sich hier nicht sowieso lauter "NATler" bzw. "MASQuerader" herumtreiben.

Gruss, Jochen

[andero]

@ manfred: solange du nicht infiziert bist, d.h: keinen CLIENT bei dir laufen hast, kommt gar nix durch; nicht mal bei nem ungesicherten system! - der trojaner findet nämlich dann keinen ansprechpartner!


mein unix-firewall sagt mir ja auch nur, daß ich angegriffen werde, und wenn ich auf meinem windows client nicht z.b.: ZA laufen hätte(der auch AUSGEHENDE verbindungen überwacht), würd ich im falle einer infektion wohl nix davon merken(außer ich schau mir immer die logs der firewall an)!

[Cindy]

code red 2 hat die eigenschaft sich zuerst im eigenen netzwerk zu verbreiten. daher nehm ich an dass es an dem liegen wird.

[andero]

cindy, recht hast!

ciao