---

Min Norman Firewall rapporterer følgende:

Program: system
Retning: indgående
Protokol: TCP
Lokal adresse: <har jeg udeladt>
Lokal tjeneste(port): netbios-ssn (139)
Fjernadresse: 80.186.35.206
Fjerntjeneste(port): 2237

Når jeg slår fjernadressen op får jeg kolumbus.fi. Jeg har nu i et par dage
haft besøg fra dette domæne (hver gang afvist). Er der nogen der kan
forklare mig hvad der foregår her?

VH

Mads

---

Den Thu, 20 Feb 2003 18:42:12 +0100 skrev .Mads:
>Min Norman Firewall rapporterer følgende:
>
>Program: system
>Retning: indgående
>Protokol: TCP
>Lokal adresse: <har jeg udeladt>
>Lokal tjeneste(port): netbios-ssn (139)
>Fjernadresse: 80.186.35.206
>Fjerntjeneste(port): 2237
>
>Når jeg slår fjernadressen op får jeg kolumbus.fi. Jeg har nu i et par dage
>haft besøg fra dette domæne (hver gang afvist). Er der nogen der kan
>forklare mig hvad der foregår her?

Port 135, 137, 138, 139 er bare windows-maskiner der står og støjer.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

---

"Kent Friis" skrev
>
> Port 135, 137, 138, 139 er bare windows-maskiner der står og støjer.
>
Hmm... den forklaring tror jeg faktisk ikke på. Men tak for din
opmærksomhed.

VH

Mads

---

On Thu, 20 Feb 2003 23:57:57 +0100, ".Mads"
<FORNAVN@EFTERNAVN.DK> wrote:

>
>"Kent Friis" skrev
>>
>> Port 135, 137, 138, 139 er bare windows-maskiner der står og støjer.
>>
>Hmm... den forklaring tror jeg faktisk ikke på.

hvorfor ikke?

jeg har svjv endnu ikke fået requests på ovennævnte porte fra en
*nix


--
Du har magt over mennesker, så længe du ikke tager
alt fra dem. Når du har taget alt fra en mand,
er han ikke længere i din magt - han er fri igen.
- Alexander Solsjenitsin -

---

..Mads <FORNAVN@efternavn.dk> wrote:
> Når jeg slår fjernadressen op får jeg kolumbus.fi. Jeg har nu i et par dage
> haft besøg fra dette domæne (hver gang afvist).

> Er der nogen der kan forklare mig hvad der foregår her?

Uden et dump af pakken kan vi kun gaette, man kan ikke udlede ret meget
af en TCP pakke der blot blev afvist.

http://a.area51.dk/sikkerhed/hjemme_net#fwbesked

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex Holst" skrev
> Uden et dump af pakken kan vi kun gaette, man kan ikke udlede ret meget
> af en TCP pakke der blot blev afvist.
OK. I min naive forestillingsverden skulle jeg kun have besøg af folk der
vil læse html på port 80. - Jeg begraver den forestilling...

Tak for opmærksomhed og linket.

VH

Mads

---

..Mads wrote:
> "Alex Holst" skrev
>
>>Uden et dump af pakken kan vi kun gaette, man kan ikke udlede ret meget
>>af en TCP pakke der blot blev afvist.
>
> OK. I min naive forestillingsverden skulle jeg kun have besøg af folk der
> vil læse html på port 80. - Jeg begraver den forestilling...
>
> Tak for opmærksomhed og linket.
>
> VH
>
> Mads
>

Der findes mange worms, der laver portscans for at finde ubeskyttede
windows-shares. Eksempelvis brugte Nimda flere angrebsmetoder, til at
inficere både IIS Webservere og ubeskyttede net-shares. Et andet
eksempel er Opaserv ormen, der var en ren NetBIOS worm, og udelukkende
gik efter MS shares.

Læs her:

http://www.avp.ch/avpve/worms/win32/opasoft.stm

http://www.unl.edu/security/virus_alerts/nimda.htm


Portene 137-139 bruges af Windows kun til NBT pakker, altså NetBIOS med
TCP/IP som transportprotokol. NBT standarden blev opfundet, som et
middel til at få MS fildeling til at fungere på tværs af subnet, da den
"gamle" NetBEUI protokol ikke var routebar. Samtidig blev også WINS
servere ("DNS" for NetBIOS) ind i billedet og forvirringen var total.
Læs RFC 1001 og 1002 hvis du vil til bunds i NetBIOS:

http://www.faqs.org/rfcs/rfc1001.html

http://www.faqs.org/rfcs/rfc1002.html

Du vil typisk se indkommende requests på port 139, fordi den åbne port
139 indikerer, at du sharer drev via TCP/IP og er klar til at modtage
SMB requests. SMB (Server Message Block) er en applikationslevel
protokol, der meget kort fortalt får hele Windows fil-print pakken til
at virke.

Port 137 og 138 er hhv. NetBIOS name service og datagram service, som
bruges til at lokalisere MS filservere, i et mijø uden WINS. Disse UDP
porte kan sagtens være åbne, uden at du "sharer" nogen drev. Port 139 er
derimod NetBIOS session service, en TCP port der indikerer, at du er
"åben" for tilslutninger, og at din maskine fungerer som SMB
server/workstation, typisk i et peer-2-peer net. For at du kan blive
inficeret med en NetBIOS orm, eller "hacket" af eks. Legion NetBIOS
scannere, skal du altså:

1. Have MS fileshare og klient installeret
2. Have NetBIOS "bundet" til TCP/IP protokollen.
3. Have et reelt delt drev eller mappe, ex. C-drev.
4. Have disablet al passwordbeskyttelse på drevet. (Legion har også    
brute force pass cracker, så der kan du ikke være så sikker alligevel.)

Der findes andre og meget udspekulerede måder at udnytte svaghederne i
NetBIOS på, kort sagt er NetBIOS og MS fileshare en åben invitation til
alverdens skidt, så lad være med at bruge det!!! I en situation, hvor du
absolut skal bruge MS file, er en personlig firewall for en gangs skyld
faktisk en god ide...

Håber det opklarede lidt af NetBIOS virus/orm/hack cirkuset.

Mvh.

Michael.