/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
(Hvem)/Hvad/(Hvordan) forsøger at 'besøge'~
Fra : .Mads


Dato : 20-02-03 18:42

Min Norman Firewall rapporterer følgende:

Program: system
Retning: indgående
Protokol: TCP
Lokal adresse: <har jeg udeladt>
Lokal tjeneste(port): netbios-ssn (139)
Fjernadresse: 80.186.35.206
Fjerntjeneste(port): 2237

Når jeg slår fjernadressen op får jeg kolumbus.fi. Jeg har nu i et par dage
haft besøg fra dette domæne (hver gang afvist). Er der nogen der kan
forklare mig hvad der foregår her?

VH

Mads


 
 
Kent Friis (20-02-2003)
Kommentar
Fra : Kent Friis


Dato : 20-02-03 23:18

Den Thu, 20 Feb 2003 18:42:12 +0100 skrev .Mads:
>Min Norman Firewall rapporterer følgende:
>
>Program: system
>Retning: indgående
>Protokol: TCP
>Lokal adresse: <har jeg udeladt>
>Lokal tjeneste(port): netbios-ssn (139)
>Fjernadresse: 80.186.35.206
>Fjerntjeneste(port): 2237
>
>Når jeg slår fjernadressen op får jeg kolumbus.fi. Jeg har nu i et par dage
>haft besøg fra dette domæne (hver gang afvist). Er der nogen der kan
>forklare mig hvad der foregår her?

Port 135, 137, 138, 139 er bare windows-maskiner der står og støjer.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

.Mads (20-02-2003)
Kommentar
Fra : .Mads


Dato : 20-02-03 23:58


"Kent Friis" skrev
>
> Port 135, 137, 138, 139 er bare windows-maskiner der står og støjer.
>
Hmm... den forklaring tror jeg faktisk ikke på. Men tak for din
opmærksomhed.

VH

Mads


Frans Jensen (21-02-2003)
Kommentar
Fra : Frans Jensen


Dato : 21-02-03 20:29

On Thu, 20 Feb 2003 23:57:57 +0100, ".Mads"
<FORNAVN@EFTERNAVN.DK> wrote:

>
>"Kent Friis" skrev
>>
>> Port 135, 137, 138, 139 er bare windows-maskiner der står og støjer.
>>
>Hmm... den forklaring tror jeg faktisk ikke på.

hvorfor ikke?

jeg har svjv endnu ikke fået requests på ovennævnte porte fra en
*nix


--
Du har magt over mennesker, så længe du ikke tager
alt fra dem. Når du har taget alt fra en mand,
er han ikke længere i din magt - han er fri igen.
- Alexander Solsjenitsin -

Alex Holst (21-02-2003)
Kommentar
Fra : Alex Holst


Dato : 21-02-03 00:25

..Mads <FORNAVN@efternavn.dk> wrote:
> Når jeg slår fjernadressen op får jeg kolumbus.fi. Jeg har nu i et par dage
> haft besøg fra dette domæne (hver gang afvist).

> Er der nogen der kan forklare mig hvad der foregår her?

Uden et dump af pakken kan vi kun gaette, man kan ikke udlede ret meget
af en TCP pakke der blot blev afvist.

http://a.area51.dk/sikkerhed/hjemme_net#fwbesked

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

.Mads (21-02-2003)
Kommentar
Fra : .Mads


Dato : 21-02-03 01:11


"Alex Holst" skrev
> Uden et dump af pakken kan vi kun gaette, man kan ikke udlede ret meget
> af en TCP pakke der blot blev afvist.
OK. I min naive forestillingsverden skulle jeg kun have besøg af folk der
vil læse html på port 80. - Jeg begraver den forestilling...

Tak for opmærksomhed og linket.

VH

Mads


Michael U. Hove (21-02-2003)
Kommentar
Fra : Michael U. Hove


Dato : 21-02-03 11:39

..Mads wrote:
> "Alex Holst" skrev
>
>>Uden et dump af pakken kan vi kun gaette, man kan ikke udlede ret meget
>>af en TCP pakke der blot blev afvist.
>
> OK. I min naive forestillingsverden skulle jeg kun have besøg af folk der
> vil læse html på port 80. - Jeg begraver den forestilling...
>
> Tak for opmærksomhed og linket.
>
> VH
>
> Mads
>

Der findes mange worms, der laver portscans for at finde ubeskyttede
windows-shares. Eksempelvis brugte Nimda flere angrebsmetoder, til at
inficere både IIS Webservere og ubeskyttede net-shares. Et andet
eksempel er Opaserv ormen, der var en ren NetBIOS worm, og udelukkende
gik efter MS shares.

Læs her:

http://www.avp.ch/avpve/worms/win32/opasoft.stm

http://www.unl.edu/security/virus_alerts/nimda.htm


Portene 137-139 bruges af Windows kun til NBT pakker, altså NetBIOS med
TCP/IP som transportprotokol. NBT standarden blev opfundet, som et
middel til at få MS fildeling til at fungere på tværs af subnet, da den
"gamle" NetBEUI protokol ikke var routebar. Samtidig blev også WINS
servere ("DNS" for NetBIOS) ind i billedet og forvirringen var total.
Læs RFC 1001 og 1002 hvis du vil til bunds i NetBIOS:

http://www.faqs.org/rfcs/rfc1001.html

http://www.faqs.org/rfcs/rfc1002.html

Du vil typisk se indkommende requests på port 139, fordi den åbne port
139 indikerer, at du sharer drev via TCP/IP og er klar til at modtage
SMB requests. SMB (Server Message Block) er en applikationslevel
protokol, der meget kort fortalt får hele Windows fil-print pakken til
at virke.

Port 137 og 138 er hhv. NetBIOS name service og datagram service, som
bruges til at lokalisere MS filservere, i et mijø uden WINS. Disse UDP
porte kan sagtens være åbne, uden at du "sharer" nogen drev. Port 139 er
derimod NetBIOS session service, en TCP port der indikerer, at du er
"åben" for tilslutninger, og at din maskine fungerer som SMB
server/workstation, typisk i et peer-2-peer net. For at du kan blive
inficeret med en NetBIOS orm, eller "hacket" af eks. Legion NetBIOS
scannere, skal du altså:

1. Have MS fileshare og klient installeret
2. Have NetBIOS "bundet" til TCP/IP protokollen.
3. Have et reelt delt drev eller mappe, ex. C-drev.
4. Have disablet al passwordbeskyttelse på drevet. (Legion har også    
brute force pass cracker, så der kan du ikke være så sikker alligevel.)

Der findes andre og meget udspekulerede måder at udnytte svaghederne i
NetBIOS på, kort sagt er NetBIOS og MS fileshare en åben invitation til
alverdens skidt, så lad være med at bruge det!!! I en situation, hvor du
absolut skal bruge MS file, er en personlig firewall for en gangs skyld
faktisk en god ide...

Håber det opklarede lidt af NetBIOS virus/orm/hack cirkuset.

Mvh.

Michael.




Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408939
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste