..Mads wrote:
> "Alex Holst" skrev
>
>>Uden et dump af pakken kan vi kun gaette, man kan ikke udlede ret meget
>>af en TCP pakke der blot blev afvist.
>
> OK. I min naive forestillingsverden skulle jeg kun have besøg af folk der
> vil læse html på port 80. - Jeg begraver den forestilling...
>
> Tak for opmærksomhed og linket.
>
> VH
>
> Mads
>
Der findes mange worms, der laver portscans for at finde ubeskyttede
windows-shares. Eksempelvis brugte Nimda flere angrebsmetoder, til at
inficere både IIS Webservere og ubeskyttede net-shares. Et andet
eksempel er Opaserv ormen, der var en ren NetBIOS worm, og udelukkende
gik efter MS shares.
Læs her:
http://www.avp.ch/avpve/worms/win32/opasoft.stm
http://www.unl.edu/security/virus_alerts/nimda.htm
Portene 137-139 bruges af Windows kun til NBT pakker, altså NetBIOS med
TCP/IP som transportprotokol. NBT standarden blev opfundet, som et
middel til at få MS fildeling til at fungere på tværs af subnet, da den
"gamle" NetBEUI protokol ikke var routebar. Samtidig blev også WINS
servere ("DNS" for NetBIOS) ind i billedet og forvirringen var total.
Læs RFC 1001 og 1002 hvis du vil til bunds i NetBIOS:
http://www.faqs.org/rfcs/rfc1001.html
http://www.faqs.org/rfcs/rfc1002.html
Du vil typisk se indkommende requests på port 139, fordi den åbne port
139 indikerer, at du sharer drev via TCP/IP og er klar til at modtage
SMB requests. SMB (Server Message Block) er en applikationslevel
protokol, der meget kort fortalt får hele Windows fil-print pakken til
at virke.
Port 137 og 138 er hhv. NetBIOS name service og datagram service, som
bruges til at lokalisere MS filservere, i et mijø uden WINS. Disse UDP
porte kan sagtens være åbne, uden at du "sharer" nogen drev. Port 139 er
derimod NetBIOS session service, en TCP port der indikerer, at du er
"åben" for tilslutninger, og at din maskine fungerer som SMB
server/workstation, typisk i et peer-2-peer net. For at du kan blive
inficeret med en NetBIOS orm, eller "hacket" af eks. Legion NetBIOS
scannere, skal du altså:
1. Have MS fileshare og klient installeret
2. Have NetBIOS "bundet" til TCP/IP protokollen.
3. Have et reelt delt drev eller mappe, ex. C-drev.
4. Have disablet al passwordbeskyttelse på drevet. (Legion har også
brute force pass cracker, så der kan du ikke være så sikker alligevel.)
Der findes andre og meget udspekulerede måder at udnytte svaghederne i
NetBIOS på, kort sagt er NetBIOS og MS fileshare en åben invitation til
alverdens skidt, så lad være med at bruge det!!! I en situation, hvor du
absolut skal bruge MS file, er en personlig firewall for en gangs skyld
faktisk en god ide...
Håber det opklarede lidt af NetBIOS virus/orm/hack cirkuset.
Mvh.
Michael.