---

Hejza er llige blevet sparket af et attack !!! tor jeg jeg midste i værtil
fald forbbindslen til internnette .... jeg har ADSL !!

Nogle gode programmet til at forhindre dette ??!?

---

Lad mig gætte at du bruger en Cisco667 ;=)
CodeRed angriber web porten på routeren. Det sikreste er at disable den (set web
disable) alternativt at flytte porten til en anden adresse hvis du bruger web
interfacet....


--
Flemming
Stop vandviddet http://www.StopCopyDan.dk/
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/



"Jan.Bagge" <Janbagge@hotmail.com> wrote in message
news:3b6e859a$0$351$edfadb0f@dspool01.news.tele.dk...
> Hejza er llige blevet sparket af et attack !!! tor jeg jeg midste i værtil
> fald forbbindslen til internnette .... jeg har ADSL !!
>
> Nogle gode programmet til at forhindre dette ??!?
>
>

---

"F.Larsen" wrote:
> Lad mig gætte at du bruger en Cisco667 ;=)
Njaaaa... Han er jo TDC kunde, så det er vel (hvis en router) en
SpeedStream (correct me if i'm wrong) Jeg skal ikke gøre mig klog på om
den har samme defekt som 677'ere med gammel firmware ( CBOS v. < 2.4.2,
hos CC anyway)

> "Jan.Bagge" <Janbagge@hotmail.com> wrote in message
> > Hejza er llige blevet sparket af et attack !!! tor jeg jeg midste i værtil
> > fald forbbindslen til internnette .... jeg har ADSL !!
Det er jo ikke sikkert, at det er fordi du er blevet "angrebet". Prøv at
genstarte routeren (hvis du har en) eller hvis du laver PPPoE eller
noget kan du genstarte din PPP-demon.

> > Nogle gode programmet til at forhindre dette ??!?
Det tror jeg ikke du skal regne med.

hygge
Lars
--
Lars Henriksen
M.Sc. Student, Computer Systems Engineering
SDU, Odense.
--

---

> Njaaaa... Han er jo TDC kunde, så det er vel (hvis en router) en
> SpeedStream (correct me if i'm wrong) Jeg skal ikke gøre mig klog på om
> den har samme defekt som 677'ere med gammel firmware ( CBOS v. < 2.4.2,
> hos CC anyway)

Der står simens på den !!

> Det er jo ikke sikkert, at det er fordi du er blevet "angrebet". Prøv at
> genstarte routeren (hvis du har en) eller hvis du laver PPPoE eller
> noget kan du genstarte din PPP-demon.
Behøvs ikke

> Det tror jeg ikke du skal regne med.
Hvad med en firewall ?!? der kan tag mulige attacks ?!?

---

"Jan.Bagge" wrote:
> Der står simens på den !!
Ok.

> > Det tror jeg ikke du skal regne med.
> Hvad med en firewall ?!? der kan tag mulige attacks ?!?
Men dit oprindelige spørgsmål var om du blev smidt af nettet pga. et
ikke defineret angreb. Hvad skal en firewall på lan siden af routeren
gøre ved, at nogle forsøger at lukke din router?

Det sker sommetider, at man mister sin forbindelse til udbyderen, f.eks.
gennem et DHCP timeout eller noget i den stil. Jeg plejer at reboote
routeren hvis der ikke rigitg er hul igennem, og det hjælper til tider.
Det jeg ville frem til, er at det garanteret ikke har noget med
sikkerhed at gøre, men at (vi) adsl kunder ikke har en ultra-stabil
internetforbindelse...

hygge
Lars
--
Lars Henriksen
M.Sc. Student, Computer Systems Engineering
SDU, Odense.
--

---

"Lars Henriksen" <"olav(spam-me-not)"@mip.sdu.dk> skrev i en meddelelse
news:3B6F0D34.1F1BF886@mip.sdu.dk...
> "Jan.Bagge" wrote:
> > Der står simens på den !!
> Ok.
>
> > > Det tror jeg ikke du skal regne med.
> > Hvad med en firewall ?!? der kan tag mulige attacks ?!?
> Men dit oprindelige spørgsmål var om du blev smidt af nettet pga. et
> ikke defineret angreb. Hvad skal en firewall på lan siden af routeren
> gøre ved, at nogle forsøger at lukke din router?
>
> Det sker sommetider, at man mister sin forbindelse til udbyderen, f.eks.
> gennem et DHCP timeout eller noget i den stil. Jeg plejer at reboote
> routeren hvis der ikke rigitg er hul igennem, og det hjælper til tider.
> Det jeg ville frem til, er at det garanteret ikke har noget med
> sikkerhed at gøre, men at (vi) adsl kunder ikke har en ultra-stabil
> internetforbindelse...
>

Ser ikke ud til at forstå det ...

Skulle ikke reboot routeren !!

Bare genstart computer eller rettersagt begge computerne !!

Det skedte lig pludsligt !!

> hygge
> Lars
> --
> Lars Henriksen
> M.Sc. Student, Computer Systems Engineering
> SDU, Odense.
> --

---

"F.Larsen" <N0Spam@spamfilter.dk> wrote in message
news:grzb7.3479$PZ4.225901@news000.worldonline.dk...
> Lad mig gætte at du bruger en Cisco667 ;=)
> CodeRed angriber web porten på routeren. Det sikreste er at disable den
(set web
> disable) alternativt at flytte porten til en anden adresse hvis du bruger
web
> interfacet....

Jeg synes at have læst et sted at det ikke er nok at disable
web-interface'et. Jeg mener at der stod at Cisco'en stadig lyttede på port
80 og dermed var sårbar - er der nogen der kan be- eller af-kræfte dette?

---

"Karl Krukow" skrev

> Jeg synes at have læst et sted at det ikke er nok at disable webinter-
> face'et. Jeg mener at der stod at Cisco'en stadig lyttede på port 80
> og dermed var sårbar - er der nogen der kan be- eller af-kræfte dette?

Fra Cisco:

<URL: http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml >

"To avoid unnecessary handling of HTTP requests by Cisco routers running
IOS, disable the HTTP server by applying

no ip http server

while in global configuration mode. If HTTP service is needed, consider
restricting access by applying an access list command."

Og:

<URL: http://www.cisco.com/warp/public/707/CBOS-multiple.shtml >

"Workarounds

CSCdr98772
There are two workarounds for this vulnerability. The potential for
exploitation can be lessened by ensuring that Web access to the router
is limited to a legitimate IP address.

This can be done by entering the following commands while in enable
mode:

cbos# set web remote 10.0.0.1
cbos# set web remote enabled

where 10.0.0.1 is the address of the host with a legitimate need for Web
access to the router.

Alternatively, disabling the Web access completely will also prevent
this vulnerability from being exploited. This can be done by entering
the following command while in enable mode:

cbos# set web remote disable

CSCds59206
There is no workaround for this vulnerability.

CSCds19142
The Web Management interface can be disabled by entering the following
commands in enable mode:

cbos# set web remote disable

CSCds23921
All incoming ICMP ECHO (PING) packets destined to the router itself
should be denied. That can be achieved by following commands:

cbos# set filter number on deny incoming all 0.0.0.0 0.0.0.0 <eth0_IP_address> 255.255.255.255 protocol ICMP
cbos# set filter number+1 on deny incoming all 0.0.0.0 0.0.0.0 <wan0_IP_address> 255.255.255.255 protocol ICMP

Where number is a free filter number between 0 and 17."

---

Det er rigtigt.

Det har vist sig IKKE at være nok at disable webinterfacet. Men du kan
flytte porten et andet sted hen (f,eks. port 8000 eller 81). Så er du sikret
mod orme der kun spørget på standardporte.

Der foregår iøvrigt livlige threads på worldonline.dk.internet-sikkerhed om
dette..... wol kører med den omtalte router

/Jesper

"Karl Krukow" <krukow@removedaimi.au.dk> wrote in message
news:9kmrp3$193$1@sunsite.dk...
>
> "F.Larsen" <N0Spam@spamfilter.dk> wrote in message
> news:grzb7.3479$PZ4.225901@news000.worldonline.dk...
> > Lad mig gætte at du bruger en Cisco667 ;=)
> > CodeRed angriber web porten på routeren. Det sikreste er at disable den
> (set web
> > disable) alternativt at flytte porten til en anden adresse hvis du
bruger
> web
> > interfacet....
>
> Jeg synes at have læst et sted at det ikke er nok at disable
> web-interface'et. Jeg mener at der stod at Cisco'en stadig lyttede på
port
> 80 og dermed var sårbar - er der nogen der kan be- eller af-kræfte dette?
>
>
>
>
>