Virus greift Clients hinter Firewall an, wie kann das sein?
Hallo,
ich hab vor ein paar Tagen den Virenscanner von Symantec auf Kaspersky umgestellt.
Seit her kommt an allen Arbeitsstationen regelmässig die Meldung:
Intrusion.Win.MSSQL.worm.Helkern;Der Angriff vom Protokoll UDP von der Adresse 201.51.3.75 am lokalen Port 1434 wurde erfolgreich abgewehrt.;06.05.2006 16:18:28
Wie kann es sein, dass trotz einer Firewall (Symantec Firewall\VPN 100) ein Client von ausen angegriffen werden kann?
Mfg Huhjukel
ich hab vor ein paar Tagen den Virenscanner von Symantec auf Kaspersky umgestellt.
Seit her kommt an allen Arbeitsstationen regelmässig die Meldung:
Intrusion.Win.MSSQL.worm.Helkern;Der Angriff vom Protokoll UDP von der Adresse 201.51.3.75 am lokalen Port 1434 wurde erfolgreich abgewehrt.;06.05.2006 16:18:28
Wie kann es sein, dass trotz einer Firewall (Symantec Firewall\VPN 100) ein Client von ausen angegriffen werden kann?
Mfg Huhjukel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 31964
Url: https://administrator.de/forum/virus-greift-clients-hinter-firewall-an-wie-kann-das-sein-31964.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
6 Kommentare
Neuester Kommentar
1. die Datei wurde doch erfolgreich abgewehrt.
2. normalerweise schützt ja Firewall nicht vor Viren, sondern blockiert ausgehenden Verkehr !
3. überprüfe mal was dieser Wurm genau auslöst, könnte sein das die Datei zu einem Programm gehört und gar nicht gefährlich ist.
4. Norten Scanner ist Kapitel für sich, benutzte ihn auch und habe festgestellt, das man sich nicht wirklich sicher fühlen kann. (z.B.: automatische Updates, Einstellung verändert sich plötzlich)
2. normalerweise schützt ja Firewall nicht vor Viren, sondern blockiert ausgehenden Verkehr !
3. überprüfe mal was dieser Wurm genau auslöst, könnte sein das die Datei zu einem Programm gehört und gar nicht gefährlich ist.
4. Norten Scanner ist Kapitel für sich, benutzte ihn auch und habe festgestellt, das man sich nicht wirklich sicher fühlen kann. (z.B.: automatische Updates, Einstellung verändert sich plötzlich)
das gute Stueck kennt man auch unter den namen SPIDA Worm.
er greift alle microsoft SQL-versionen ueber port 1433 an.
sobald er auf dem rechner ist, laedt er folgende dateien nach:
%SYSTEM%\sqlprocess.js
%SYSTEM%\sqlexec.js
5SYSTEM%\sqldir.js
%SYSTEM%\run
%SYSTEM%\sqlinstall.bat
%SYSTEM%\clemail.exe
%SYSTEM%\pwdump2.exe
%SYSTEM%\samdump.dll
%SYSTEM%\timer.dll
%SYSTEM%\drivers\services.exe
folgende links geben dir weitere informationen darueber, wie das schadprogramm arbeitet und wie man es wieder los wird (leider in englisch):
1. http://www.appsecinc.com/resources/alerts/mssql/02-0002.html
2.http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418
ich glaube allerdings NICHT, dass das schadprogramm bei dir "landen" konnte. deine firewall hat dir ja gemeldet, dass der angriff erfolgreich abgewehrt wurde.
obwohl...vertrauen ist gut, kontrolle ist besser. kostet ja nichts, mal den rechner auf oben genannte dateien zu ueberpruefen!
firewalls lassen sich aushebeln...
saludos
gnarff
er greift alle microsoft SQL-versionen ueber port 1433 an.
sobald er auf dem rechner ist, laedt er folgende dateien nach:
%SYSTEM%\sqlprocess.js
%SYSTEM%\sqlexec.js
5SYSTEM%\sqldir.js
%SYSTEM%\run
%SYSTEM%\sqlinstall.bat
%SYSTEM%\clemail.exe
%SYSTEM%\pwdump2.exe
%SYSTEM%\samdump.dll
%SYSTEM%\timer.dll
%SYSTEM%\drivers\services.exe
folgende links geben dir weitere informationen darueber, wie das schadprogramm arbeitet und wie man es wieder los wird (leider in englisch):
1. http://www.appsecinc.com/resources/alerts/mssql/02-0002.html
2.http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418
ich glaube allerdings NICHT, dass das schadprogramm bei dir "landen" konnte. deine firewall hat dir ja gemeldet, dass der angriff erfolgreich abgewehrt wurde.
obwohl...vertrauen ist gut, kontrolle ist besser. kostet ja nichts, mal den rechner auf oben genannte dateien zu ueberpruefen!
firewalls lassen sich aushebeln...
saludos
gnarff
Huhjuckel, du bist der einzigste, den ich kenne, der sich beschwert KEIN schadprogramm auf dem rechner zu haben...oder habe ich das jetzt falsch verstanden?!
Warum dein router nichts protokolliert, obwohl du das so eingestellt hast, liegt wahrscheinlich daran das es nichts zu protokollieren gab
warum pruefst du nicht nach, ob deine SQL-Datenbanken befallen sind, den link hatte ich dir ja schon einmal gegeben, APP-Detective runterladen (testversion) unter:
https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppDetective
von der gleichen firma, APPLICATION Security INC. gibt es auch noch das product APP-Radar, damit kannst du deine SQL-Datenbanken gezielt ueberwachen. download der testversion unter:https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppRadar
saludos
gnarff
Warum dein router nichts protokolliert, obwohl du das so eingestellt hast, liegt wahrscheinlich daran das es nichts zu protokollieren gab
warum pruefst du nicht nach, ob deine SQL-Datenbanken befallen sind, den link hatte ich dir ja schon einmal gegeben, APP-Detective runterladen (testversion) unter:
https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppDetective
von der gleichen firma, APPLICATION Security INC. gibt es auch noch das product APP-Radar, damit kannst du deine SQL-Datenbanken gezielt ueberwachen. download der testversion unter:https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppRadar
saludos
gnarff