"Thore" skrev:
(citat fra CW)
> Portskanninger stammer fra orm
> Den kraftige stigninger i skanninger mod porte til diskdeling forleden
> fra skyldes en orm, der leder efter svage passwords. Det rapporterer
> sikkerhedsorganisationen SANS Institute. Nu er antallet af skanninger
> faldet til normalt niveau.
(citat slut)
> Læs hele artiklen her
> <
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=16688>
>
> Det forstår jeg sq ikke....Lige nu kl. 11:40 har der været 346
attack's,
> som ZA har afvist på mine porte fra kl. 08:50...
> I sidste uge, hvor det sq ha' været værst var der 300-400 pr. dag...:(
>
Det er rigtigt nok, at det store antal scanninger stammer fra orme.
Det er især BugBear og OpaServ-ormene, som giver vildt mange scanninger
efter NetBios (port 137, 139 og 445) for tiden.
Hos SANS-instuttet kan følge udviklingen. Port 137 synes at ligge nr. 1
på hitlisten - og faktisk langt over port 445, som eSec af ukendte
årsager har slået alarm over:
http://isc.incidents.org/port_details.html?port=137
http://isc.incidents.org/port_details.html?port=445
Oplysningerne i ComputerWorld er formentlig baseret på oplysninger fra
USA, hvor det godt kan være rigtigt, at antallet af scanninger er
aftagende.
Det er ikke usædvanligt, at Danmark bliver ramt et par dage senere,
fordi mange orme spreder sig som ringe i vandet, så de først efter et
stykke tid kommer væk fra deres eget "IP-nabolag".
Og så er det heller ikke usædvanligt, at det bølger lidt op og ned.
F.eks. er der allerede en håndfuld varianter af OpaServ-ormen.
> Har stadig til gode at finde ud af, hvordan man bliver det kvit...(?)
>
Det gør man ved at få alle internetbrugere til at blive bedre til at
forebygge, opdage og fjerne virus/orme.
Det er jo "alle de andre" og ikke dig, der har et problem.
Med andre ord: Det er ikke nogen let opgave.
Du er tilsyneladende selv beskyttet af din ZoneAlarm for så vidt angår
NetBios-orme. Jeg kan kun være enig med Kim Ludvigsen, der henviser til
denne gruppes OSS (Ofte Stillede Spørgsmål), der som udgangspunkt
anbefaler dig at gøre ingenting - måske lige bortset fra at knibe en
tåre over, at din firewall gør præcis, hvad den får besked på:
http://a.area51.dk/sikkerhed/hjemme_net#reaktion
Du bør sørge for, at du bliver fri for at klikke/kigge på "alarmer"
vedr. NetBios (portene 137, 139 og 445). Det kan måske være meget sjovt
at gemme dem i loggen, så du kan føre din egen lille statistik, hvis du
har lyst. Men lad være med at blive bekymret over det.
Med venlig hilsen
Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)