Hallo! Unter http://www.heise.de/newsticker/data/dab-13.08.03-002/ steht, das auch Linux von W32.Blaster attackiert werden kann. Sollte ich mir da jetzt mit meinem SuSE 8.2 Sorgen machen? Samba ist net installiert. Gruß, Jürgen
On Thursday 14 August 2003 06:46, Jürgen Fahnenschreiber wrote: [...] > Unter http://www.heise.de/newsticker/data/dab-13.08.03-002/ > steht, das auch Linux von W32.Blaster attackiert werden kann. > Sollte ich mir da jetzt mit meinem SuSE 8.2 Sorgen machen? > Samba ist net installiert. > Gruß, [...] - Du hast keine Dienste auf dem Port 135 die du ins Internet anbietest, da kann der Wurm auch keinen Dienst ansprechen. Siehe man instd und man xinetd. - Du hast eine Firewall die alle Ports zum Internet geschlossen hat und die vielleicht sogar ICMP Echo Requests (Ping) nicht beantwortet. - Deine internen WIndosen werden nur über einen Proxy wie z.B. Squid ins Internet gelassen. Aller Trafic in das interne Netz zu den Windosen geht nur über den Proxy. - Du liest regelmassig die Security Announces von SuSE und hast vielleicht sogar einige News Listen die sich mit Sicherheit beschäftigen abonniert. Sicherheit ist ein Prozess der der ständigen Kontrolle bedarf und ist nicht eine Box die man sich hinstellt und dann für alle Zeiten gesichert ist. BTW. das hat schon bei Bollwerken wie der Maginot Linie, dem Westwall und anderen nicht funktioniert. Aber Sicherheit ist auch eines der Interessantesten Themen mit denen man sich beschäftigen kann. Literatur gibts zu hauff auch wenn das meiste auf Englisch ist. Ein gutes Buch auf deutsch ist: Linux Sicherheit, Tobias Klein, dPunkt Verlag, 52,-€ Tschüss, Thomas p.s. 14.8. von 0:00Uhr bis 6:30Uhr insgesammt 110 mal anklopfen am Port 135.
Hi, 0n 03/08/14@08:33 Thomas Templin told me: > On Thursday 14 August 2003 06:46, Jürgen Fahnenschreiber wrote: > [...] > > Unter http://www.heise.de/newsticker/data/dab-13.08.03-002/ > > steht, das auch Linux von W32.Blaster attackiert werden kann. > > Sollte ich mir da jetzt mit meinem SuSE 8.2 Sorgen machen? > > Samba ist net installiert. > > Gruß, > [...] > - Du hast keine Dienste auf dem Port 135 die du ins Internet > anbietest, da kann der Wurm auch keinen Dienst ansprechen. > Siehe man instd und man xinetd. > - Du hast eine Firewall die alle Ports zum Internet geschlossen hat > und die vielleicht sogar ICMP Echo Requests (Ping) nicht > beantwortet. > - Deine internen WIndosen werden nur über einen Proxy wie z.B. > Squid ins Internet gelassen. Aller Trafic in das interne Netz zu > den Windosen geht nur über den Proxy. Das ist hier alles der Fall, aber werden die Pakete theoretisch vom connection tracking erkannt? Das sieht bei mir hier so aus: ---cut--- work:~# iptables -t nat -L ... MASQUERADE all -- syl.holtkamp.priv anywhere MASQUERADE all -- mobil.holtkamp.priv anywhere ---cut--- Das sind reine Linux Clients. ---cut--- work:~# iptables -L Chain INPUT (policy DROP) ... ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED Chain FORWARD (policy DROP) ... ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ---cut--- Mein Sohn hat hier noch eine dualboot Maschine 98/woody. Wenn ich ihn maskieren wuerde, waere er gefaerdet oder wuerde das connection tracking die Pakete verwerfen? TIA. -- bye maik
Maik Holtkamp schrieb:
---cut--- work:~# iptables -t nat -L ... MASQUERADE all -- syl.holtkamp.priv anywhere MASQUERADE all -- mobil.holtkamp.priv anywhere ---cut---
Das sind reine Linux Clients.
---cut--- work:~# iptables -L Chain INPUT (policy DROP) ... ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP) ... ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ---cut---
Mein Sohn hat hier noch eine dualboot Maschine 98/woody. Wenn ich ihn maskieren wuerde, waere er gefaerdet oder wuerde das connection tracking die Pakete verwerfen?
TIA.
Versteh ich nicht. Natürlich sollte Dein Sohn auch über NAT ins Internet gehen. Wenn Du nicht mehr als einen Zugang zuhause hast, dann weiß ich ehrlich gesagt gar nicht, wie das auch sonst gehen sollte, dann müßtest Du ja für die Windose immer die Kabel vom Router/FW-Rechner auf die Dose umstecken... Die Liste mag mich schlagen, aber wenn ich mich nicht irre, sollte das msblaster-Problem einfach durch ein iptables -A INPUT -p tcp --dport 135 -j DROP iptables -A INPUT -p udp --dport 135 -j DROP zu erschlagen sein - unabhängig davon, welches BS der Rechner hinter der FW fährt. Gruß Christoph
Hi, 0n 03/08/14@14:12 Christoph Bohm told me:
Maik Holtkamp schrieb:
---cut--- work:~# iptables -t nat -L ... MASQUERADE all -- syl.holtkamp.priv anywhere MASQUERADE all -- mobil.holtkamp.priv anywhere ---cut---
Das sind reine Linux Clients.
---cut--- work:~# iptables -L Chain INPUT (policy DROP) ... ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP) ... ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ---cut---
Mein Sohn hat hier noch eine dualboot Maschine 98/woody. Wenn ich ihn maskieren wuerde, waere er gefaerdet oder wuerde das connection tracking die Pakete verwerfen?
TIA.
Versteh ich nicht. Natürlich sollte Dein Sohn auch über NAT ins Internet gehen. Wenn Du nicht mehr als einen Zugang zuhause hast, dann weiß ich ehrlich gesagt gar nicht, wie das auch sonst gehen sollte, dann müßtest Du ja für die Windose immer die Kabel vom Router/FW-Rechner auf die Dose umstecken...
Der geht ueber squid. squid-guard kuemmert sich dabei um die groebsten Sauereien (bitte keine META Diskussion) und seinen mail Verkehr regelt exim. News koennte er ueber leafnode machen. Solange er kein edonkey, irc, online-gaming oder sowas will, sehe ich keinen Grund seinen Rechner zu maskieren.
Die Liste mag mich schlagen, aber wenn ich mich nicht irre, sollte das msblaster-Problem einfach durch ein
iptables -A INPUT -p tcp --dport 135 -j DROP iptables -A INPUT -p udp --dport 135 -j DROP
zu erschlagen sein - unabhängig davon, welches BS der Rechner hinter der FW fährt.
Sowiel ich ueber das Teil weiss, sollte das reichen. Bei mir sind die Dienste auch nur an das intere Interface gebunden, daher sollte es eh' egal sein. Aber morgen ist es vielleicht port 4711 und uebermorgen habe ich so excessive Filterregeln, dass die Kiste nicht mehr aus dem Kreutz kommt, daher waere es gut, wenn sich einfach das connection tracking darum kuemmern wuerde ohne ein Firewallscript zu schreiben das keiner mehr ueberblicken kann. -- bye maik
*** Thomas Templin <suse-de@gnuwhv.de> wrote: > On Thursday 14 August 2003 06:46, Jürgen Fahnenschreiber wrote: > [...] > > Unter http://www.heise.de/newsticker/data/dab-13.08.03-002/ > > steht, das auch Linux von W32.Blaster attackiert werden kann. > > Sollte ich mir da jetzt mit meinem SuSE 8.2 Sorgen machen? > > Samba ist net installiert. > > Gruß, > [...] > - Du hast keine Dienste auf dem Port 135 die du ins Internet > anbietest, da kann der Wurm auch keinen Dienst ansprechen. > Siehe man instd und man xinetd. jep. > - Du hast eine Firewall die alle Ports zum Internet geschlossen hat > und die vielleicht sogar ICMP Echo Requests (Ping) nicht > beantwortet. das hat gleich noch welchen sinn? und vor allem welchen sicherheitsgewinn? > Sicherheit ist ein Prozess der der ständigen Kontrolle bedarf und > ist nicht eine Box die man sich hinstellt und dann für alle Zeiten > gesichert ist. ACK. micha
On Thursday 14 August 2003 15:06, Michael Meyer wrote:
*** Thomas Templin <suse-de@gnuwhv.de> wrote:
On Thursday 14 August 2003 06:46, Jürgen Fahnenschreiber wrote: [...]
Unter http://www.heise.de/newsticker/data/dab-13.08.03-002/ steht, das auch Linux von W32.Blaster attackiert werden kann. Sollte ich mir da jetzt mit meinem SuSE 8.2 Sorgen machen? Samba ist net installiert. Gruß,
[...] - Du hast keine Dienste auf dem Port 135 die du ins Internet anbietest, da kann der Wurm auch keinen Dienst ansprechen. Siehe man instd und man xinetd.
jep.
- Du hast eine Firewall die alle Ports zum Internet geschlossen hat und die vielleicht sogar ICMP Echo Requests (Ping) nicht beantwortet.
das hat gleich noch welchen sinn? und vor allem welchen sicherheitsgewinn? Keinen, ist nur eine der Möglichen Lösungen, das Buch zähl ich auch dazu. :o)
Sicherheit ist ein Prozess der der ständigen Kontrolle bedarf und ist nicht eine Box die man sich hinstellt und dann für alle Zeiten gesichert ist.
ACK. Dieses Grundprinzip haben die wenigsten begriffen, sagt mir meine Erfahrung... ;-)
Tschüss, Thomas
Hi Leute! Mich interressiert nur eins! Ist der Virus auch für ein Linux System gefährlich? Bin weis Gott keiner, der den Durchblick hat, aber ich denke, dass wenn der für Windows programmiert ist, der sich nicht in einem Linux System "zurechtfindet"! Kann mich mal einer darüber aufklären! Danke! mfg Jan
Hallo Jan, On Fri, Aug 15, 2003 at 12:54:44AM +0200, Jan Hendrik Berlin wrote:
Mich interressiert nur eins! Ist der Virus auch für ein Linux System gefährlich?
Nein, dieser nicht.
Kann mich mal einer darüber aufklären!
Selbst wenn der Wurm auch unter Linux Schaden anrichten könnte (tut er bisher ja nicht mal wirklich unter Windows) Hättest Du den Dienst (DCOM/RPC) mit ziemlicher Sicherheit _nicht_ am Laufen. Nachschauen kannst Du z.B. über netstat --inet -pan | grep 135 Also kein Grund sich Gedanken zu machen. Will heissen, wenn Du eine Firewall oben, nur sichere/benötigte Dienste laufen, ordentliche Authentifizierung eingebaut und alle Updates installiert hast. *g* Greetings Daniel -- .~. /V\ // \\ "Smile -- It irritates people." /( )\ ^^-^^
Am Freitag, 15. August 2003 02:33 schrieb Daniel Lord:
Hallo Jan,
[...]
Nachschauen kannst Du z.B. über netstat --inet -pan | grep 135
Moin, welche Antwort ist harmlos? Bei mir erfolgt keine Konsolenausgabe, also alles i.O.? MfG Joerg -- Joerg Schirmacher j.schirmacher@gmx.de
Am Sonntag, 17. August 2003 10:00 schrieb J. Schirmacher: Hallo
Am Freitag, 15. August 2003 02:33 schrieb Daniel Lord:
Hallo Jan,
[...]
Nachschauen kannst Du z.B. über netstat --inet -pan | grep 135 Wenn ich das Kommando so ^^^^ eingebe , bekomme ich auch keine Ausgabe. Aber so: majestix:/home/helmut # netstat -inet -pan | grep 135 inet Adresse:80.135.83.29 P-z-P:217.5.98.67 Maske:255.255.255.255 Achte auf das -inet. Eine Verbindung zum Internet muss dabei bestehen. Das scheint auch noch eine gute Addresse für einen Sicherheits Check. http://seccheck.onsite.ch -- MfG Helmut
Am Sonntag, 17. August 2003 11:39 schrieb Helmut Scholl:
Das scheint auch noch eine gute Addresse für einen Sicherheits Check. http://seccheck.onsite.ch
Wessen System ist da unsicher, meines oder das des Providers: Test: Zonentransfer Beschreibung: Mit dem Domain Name Server (DNS) werden die Ihnen bestens vertrauten Rechnernamen wie www.onsite.ch in eine numerische IP-Adresse umgewandelt. Dieser Test prüft Ihre DNS-Server hinsichtlich Herausgabe ganzer DNS-Zonen an fremde Hosts, denn für ein Hacker stellen diese Informationen praktisch eine vollwertige Landkarte von Ihrem Netzwerk dar! Beurteilung: Unser Test konnte über Ihre Netzwerk-Infrastruktur ausserhalb des internen Netzwerks eine ziemlich vollständige "Landkarte" anfertigen. Damit keine vertraulichen Informationen Ihrer Netzwerkinfrastruktur in die grosse weite Welt mehr hinausgehen, sollten Sie den Zonentransfer deaktivieren oder zumindest auf die IP-Adressen Ihrer Backup-DNS-Server beschränken. Stufe: 10 Währen des Tests lief ein ftp-Download, davor hatte ich mit anderer IP Stufe 01. Al
Jürgen Fahnenschreiber wrote:
Sollte ich mir da jetzt mit meinem SuSE 8.2 Sorgen machen? Samba ist net installiert.
Dann mach dir hoechstens mal Gedanken in Richtung Paketfilter. Dieser Exploit laesst sich ausnutzen, weil viele Leute vergessen, den Rechner so zu konfigurieren, das Dienste fuer das lokale Netzwerk aus dem Internet erreichbar sind. Sowas wird es im Laufe der Zeit auch mal wieder fuer einen Linux-Dienst geben. -- Have fun, Peter
* Am Don, 14 Aug 2003 schrieb Peter Wiersig:
Jürgen Fahnenschreiber wrote:
Sollte ich mir da jetzt mit meinem SuSE 8.2 Sorgen machen? Samba ist net installiert.
Dann mach dir hoechstens mal Gedanken in Richtung Paketfilter. Dieser Exploit laesst sich ausnutzen, weil viele Leute vergessen, den Rechner so zu konfigurieren, das Dienste fuer das lokale Netzwerk aus dem Internet erreichbar sind.
Sowas wird es im Laufe der Zeit auch mal wieder fuer einen Linux-Dienst geben.
Besonders aufgeregt habe ich mich in diesem Zusammenhang über einen Bericht in den Tagesthemen von gestern, in dem so getan wurde, als wären die armen Computer-Nutzer ohne eigene Schuld und ohne Abwehrmöglichkeit von dem bösen Wurm überrascht worden... Gruß Christoph -- Christoph Maurer - Tux#194235 - christoph-maurer at gmx.de
Christoph Maurer wrote:
Besonders aufgeregt habe ich mich in diesem Zusammenhang über einen Bericht in den Tagesthemen von gestern, in dem so getan wurde, als wären die armen Computer-Nutzer ohne eigene Schuld und ohne Abwehrmöglichkeit von dem bösen Wurm überrascht worden...
Und das ungefaehr 4 Wochen nachdem Microsoft einen Patch ueber "Windows Update" zur Verfuegung gestellt hat. Jaja, aergerlicher Wurm das. Ich haette mal 10 EUR fuer Service und Support verlangen sollen, dann haette ich jetzt wieder ne neue CD zum abreagieren... -- Have fun, Peter
participants (12)
-
Al Bogner -
Christoph Bohm -
Christoph Maurer -
Daniel Lord -
Helmut.Scholl_Witten@t-online.de -
J. Schirmacher -
Jan Hendrik Berlin -
Jürgen Fahnenschreiber -
Maik Holtkamp -
Michael Meyer -
Peter Wiersig -
Thomas Templin